Novo Ransomware Mongolock atacando Banco de Dados para Criptografar e Apagar Arquivos

Recém-descoberto um Ransomware Mongolock tem como alvo os bancos de dados e excluir arquivos junto com a criptografia dos arquivos, a fim de exigir dinheiro em troca dos dados.

Invasores de ransomware estão atualmente aumentando drasticamente e os atacantes estão usando técnicas diferentes para criptografar os arquivos e evitar a detecção de software de segurança com a motivação final de gerar receita.

Ao contrário do ataque de ransomware tradicional, o Mongolock Ransomware não apenas criptografa os arquivos da vítima comprometida, mas também exclui o arquivo da vítima na unidade local e faz o backup do banco de dados para exigir o valor do “resgate”.

Durante a sessão de infecção, assim que o arquivo for executado, ele verifica as pastas do usuário e locais específicos, como Documentos, Área de Trabalho, Recentes, Favoritos, Música e Vídeo.

Nesse caso, o Mongolock Ransomware usa ‘format.com’, um comando legítimo do Windows que formata as pastas e unidades para excluir os arquivos de sistema comprometidos.

Mongolock Ransomware Infection & Deleting Process

Quando o ransomware Mangolock foi lançado com sucesso o Malware executou vários comandos para cada pasta para executar uma operação de formatação.

  • “C: \ Windows \ system32 \ cmd.exe” / c
    del C: \ Users \ Public \ Desktop \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c
    del C: \ Users \ user \ videos \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c del D: \\ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c format D: / fs: ntfs / q / y
  • “C: \ Windows \ system32 \ cmd.exe” / c
    del C: \ Users \ user \ Desktop \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c
    del C: \ Users \ user \ Music \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c
    del C: \ Users \ User \
    Favorites \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c
    del C: \ Users \ user \ Documents \ * / F / Q

Antes de executar um processo de formatação, o ransomware coleta e envia todas as informações das vítimas para o invasor, estabelecendo a conexão com o Command & control server.


 Comando para excluir arquivos da área de trabalho

Comando para formatar a unidade de disco local

De acordo com a Quick heal Research, embora tenhamos visto a conectividade do ransomware para o servidor CnC, não vimos nenhum backup de dados no servidor, portanto, os usuários são aconselhados a não pagar nenhum resgate, pois os autores de malware não serão capaz de restaurar os dados.

Uma vez que o ransomware complete sua operação, finalmente descarta a nota de ransomware que contém informações detalhadas que dizem “banco de dados da vítima e arquivos de backup em seu servidor seguro. “

Mensagem de aviso diz que as vítimas precisam pagar 0,1 bitcoin para a carteira que mencionam nas notas de ransomware e os dados de backup serão devolvidos à vítima dentro de 24 horas após o pagamento ser feito a partir do final da vítima.