Суббота, 4 июля, 08:33
дома безопасность Mailto Ransomware: использует Windows Explorer, чтобы избежать обнаружения

Mailto Ransomware: использует Windows Explorer, чтобы избежать обнаружения

Проводник Windowsисследователи безопасность они обнаружили, что новый Mailto Ransomware (NetWalker) вводит вредоносный код в Windows Explorer процесс для того, чтобы избегает обнаружения.

Этот вымогатель был впервые обнаружен в августе 2019 года. Он известен как Mailto из-за расширения, которое он добавляет к файлам, которые он шифрует. Однако, по словам одного из его расшифровщиков, создатели вымогателей называют его NetWalker.

Согласно одному атакаMailto, который был представлен в начале февраля, не просто нацелен жилой пользователино также бизнес сети и шифрует все Windows техника, связанные с ними.

Проводник Windows использовался, чтобы скрыть это вымогателей

По данным охранной компании Quick HealMailto Ransomware устанавливает вредоносный код в процессе Windows Explorer, используя другую технику.

Mailto Ransomware создает процесс "козел отпущения" в режиме отладки и использует API отладки, как WaitForDebugEvent, чтобы выполнить внедрение вредоносных программ.

Mailto Ransomware

После внедрения вредоносной нагрузки вредоносному ПО удается получить доступ на устройство, добавив запись RUN реестра, и удаляет теневые копии системы, чтобы предотвратить их жертвы восстановить данные их после шифрования.

«У вымогателей и команды, стоящей за ними, есть одна из самых подробных и сложных конфигураций, которые они когда-либо видели», - сказал руководитель SentinelLabs. Виталий Кремез.

Когда Mailto Ransomware шифрует файлы жертв, это добавляет расширение к формату.MAILTO [{Mail1}]. {Id}. Например, файл с именем 1.doc будет зашифрован и затем переименован в 1.doc.mailto.

вымогателей

Mailto также отправляет записку с информацией о том, что с ним случилось компьютер, Кроме того, даны два адреса e-mail с которым он должен общаться жертва чтобы узнать, сколько они должны заплатить, чтобы расшифровать архив из.

Удаляет все следы после шифрования файлов

После шифрования «explorer.exe» удаляет исходный пример, файл, установленный в% ProgramFiles%, и запись RUN, стирание любого следа Mailto Ransomware.

Вымогателей находится в стадии анализа. Мы пока не знаем, есть ли какие-либо недостатки в алгоритме шифрования, которые можно было бы использовать для дешифрования файлов бесплатно.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

LIVE NEWS

Avaddon Ransomware: атаки через макросы Excel 4.0

Вчера Microsoft объявила, что Avaddon Ransomware распространился на этой неделе с помощью старой техники, которая снова вышла на первый план. ...

Apple: запрещает обновление китайских приложений без разрешения

Apple запрещает разработчикам обновлять существующие приложения в китайском App Store, если они не одобрены правительством.

Австралия: тысячи аккаунтов MyGov продаются в Dark Web

Доступ к более чем 3600 учетным записям MyGov продается в темной сети, что потенциально может привести к мошенничеству и краже личных данных тысяч австралийцев.
00: 03: 03

Время вечеринки: смотри телевизор с друзьями онлайн

Время вечеринки: смотри телевизор со своими друзьями в интернете. Время для другой вечеринки, к которой ты не привык, смотреть любимую ...

CISA и ФБР предупреждают бизнес о рисках Tor

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) выпустили предупреждение для предприятий относительно ...

openSUSE: выпущен новый жесткий диск Leap 15.2

Недавно была выпущена следующая стабильная версия операционной системы openSUSE. По словам команды разработчиков операционной системы, ...

Каковы наиболее популярные типы вредоносных программ?

Исследователи ищут наиболее распространенные типы вредоносных программ. В ходе расследования вредоносных действий исследователи в киберпространстве сосредоточились ...

REvil Ransomware: цель для электрической компании Light SA

Операторы REvil Ransomware (также известный как Sodinokibi) нарушили бразильскую электроэнергетическую компанию Light SA ...

LinkedIn: наша ошибка связана с проблемой iOS

Вчера представитель LinkedIn сообщил ZDNet, что ошибка в приложении для iOS привела к, по-видимому, «мешающему поведению», которое ...

Valak Info Stealer ориентирован на бизнес в Европе и Америке

Многие компании в Северной и Южной Америке, а также в Европе стали жертвами печально известного Valak Info Stealer.