Mailto(NetWalker)ランサムウェアが企業ネットワークを侵害

エンタープライズネットワークを標的とする特定のリストに追加されたさらに別のランサムウェア感染。このウイルスの名前はMailto(NetWalker)Ransomwareです。ネットワークを危険にさらし、接続されているすべてのWindowsデバイスを暗号化することにより、高い身代金を要求します。

MalwareHunterTeamはMailto(NetWalker)ランサムウェアのサンプルを共有しました。このウイルスの実行可能ファイルは、スティッキーパスワードソフトウェアを偽装しようとします。ユーザーがこのファイルを実行すると、ランサムウェアは、身代金メモテンプレート、身代金メモファイル名、ID /拡張子の長さ、ホワイトリストファイル、フォルダ、拡張子などのオプションを含む埋め込み構成を使用します。

Vitali Kremezは、ランサムウェアを分析すると、その構成が他のランサムウェア感染と比較して非常に洗練されていることを発見しました。このタイプの他のウイルスは、スキップされるフォルダー、フォルダー、および拡張機能のホワイトリストを使用しますが、Mailtoランサムウェアは通常よりもはるかに長い時間を使用します。たとえば、以下は暗号化からスキップされるフォルダーのリストです。

*システムボリューム情報

* windows.old

*:\ users \ * \ * temp

* msocache

*:\ winnt

* $ windows。〜ws

* perflogs

*ブート

*:\ウィンドウズ

*:\ program file *

\ vmware

\\ * \ users \ * \ * temp

\\ * \ winnt nt

\\*\ウィンドウズ

* \ program file * \ vmwaree

* appdata * microsoft

* appdata * packages

* microsoft \ provisioning

* DVDメーカー

*インターネットエクスプローラ

*モジラ

*古いFirefoxデータ

* \ program file * \ windows media *

* \ program file * \ windows portable *

* Windowsディフェンダー

* \ program file * \ windows nt

* \ program file * \ windows photo *

* \ program file * \ windows side *

* \ program file * \ windowspowershell

* \ program file * \ cuas *

* \ program file * \ microsoft games

* \ program file * \ common files \ system em

* \ program file * \ common files \ * shared

* \ program file * \ common files \ reference ass *

* \ windows \ cache *

*一時的なインターネット*

*メディアプレーヤー

*:\ users \ * \ appdata \ * \ microsoft

\\ * \ users \ * \ appdata \ * \ microsoft

ファイルの暗号化中、Mailtoランサムウェアは、パターン.mailto [{mail1}]。{id}を使用してファイル名を追加します。たとえば、ファイル1.jpgは1.jpg.mailto [[email protected]] 77d8bになります。

ランサムウェアは、名前がID-Readme.txtの形式のファイルに身代金要求ノートを作成します。この身代金メモには、ファイルの暗号化に関する情報と、金額と指示の支払いに使用される2つの電子メールアドレスが記載されています。

ランサムウェアは、無料でファイルを復号化するために使用される暗号化アルゴリズムの弱点を確認するためにまだ分析中です。

MailtoとNetwatcher-両方とも同じ

Mailtoランサムウェアは、Netwatcherランサムウェアとも呼ばれます。 Mailtoという名前は、ランサムウェアが暗号化されたファイルのファイル名を追加するために使用する拡張子に基づいています。もう1つはNetwatcherであり、その背後にいる詐欺師が身代金メモ内の復号化ツール/ソフトウェアを呼び出す名前です。