MortalKombat Ransomware

డిసెంబర్ 2022 నుండి, ఒక గుర్తించబడని ముప్పు నటుడు వారి బాధితుల నుండి క్రిప్టోకరెన్సీని సేకరించడానికి రెండు కొత్త బెదిరింపు ప్రోగ్రామ్‌లను ఉపయోగిస్తున్నారు - MortalKombat Ransomware మరియు Laplas Clipper మాల్వేర్ యొక్క GO వేరియంట్. దాడి చేసే వ్యక్తి బహిర్గతం చేయబడిన రిమోట్ డెస్క్‌టాప్ ప్రోటోకాల్ (RDP) పోర్ట్ 3389తో హాని కలిగించే మెషీన్‌ల కోసం ఇంటర్నెట్‌ను స్కాన్ చేస్తున్నాడు, ఆ తర్వాత వారు బాధితుడి సిస్టమ్‌కు అనధికారిక యాక్సెస్‌ను పొందేందుకు ఉపయోగిస్తారు. ఈ దాడిని సులభతరం చేయడానికి, దాడి చేసే వ్యక్తి వారి డౌన్‌లోడ్ సర్వర్‌లలో ఒకదాన్ని ఉపయోగించారు, ఇది MortalKombat Ransomwareని కూడా హోస్ట్ చేస్తుంది. మాల్వేర్ పరిశోధకుల నివేదికలో వినియోగించబడిన మాల్వేర్ సాధనాలు మరియు దాడి ప్రచారానికి సంబంధించిన వివరాలు విడుదల చేయబడ్డాయి.

MortalKombat Ransomware యొక్క కోడ్, తరగతి పేరు మరియు రిజిస్ట్రీ కీ స్ట్రింగ్‌లను విశ్లేషించిన తర్వాత, పరిశోధకులు ముప్పు ransomware యొక్క Xorist కుటుంబానికి చెందినదని అధిక విశ్వాసంతో నిర్ధారించారు. ఈ ransomware స్ట్రెయిన్ బాధితుడి ఫైల్‌లను ఎన్‌క్రిప్ట్ చేయడానికి బలమైన ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను ఉపయోగించి, ఆపై డిక్రిప్షన్ కీకి బదులుగా విమోచన చెల్లింపు కోసం అడుగుతుంది.

MortalKombat Ransomwareని అమలు చేస్తున్న బహుళ-దశల ఇన్ఫెక్షన్ చైన్

దాడి ప్రచారం సాధారణంగా ఫిషింగ్ ఇమెయిల్‌తో ప్రారంభమవుతుంది. దాడి చేసేవారు సాధారణంగా ఇమెయిల్ ద్వారా మాల్వేర్ లేదా ransomwareని బట్వాడా చేస్తారు మరియు పాడైన ఫైల్‌లకు సంబంధించిన ఏదైనా సాక్ష్యాలను తొలగించడం ద్వారా వారి ట్రాక్‌లను కవర్ చేయడానికి కొనసాగుతారు. ఇది ఇన్ఫోసెక్ పరిశోధకులకు ఆపరేషన్‌ని విశ్లేషించడం కష్టతరం చేస్తుంది.

ప్రారంభ ఫిషింగ్ ఇమెయిల్ BAT లోడర్ స్క్రిప్ట్‌ను కలిగి ఉన్న రాజీపడిన జిప్ ఫైల్‌ను కలిగి ఉంది. ఎర ఇమెయిల్ చట్టబద్ధమైన గ్లోబల్ క్రిప్టోకరెన్సీ గేట్‌వే కాయిన్‌పేమెంట్స్ నుండి వచ్చినట్లుగా ప్రదర్శించబడుతుంది. వాస్తవానికి, ఎంటిటీ ఈ ఇమెయిల్ సందేశాలకు ఏ విధంగానూ కనెక్ట్ చేయబడదు.
అదనంగా, వారి లక్ష్యాలను మరింత మోసం చేయడానికి, ఇమెయిల్‌లు స్పూఫ్డ్ పంపినవారి ఇమెయిల్‌ను కలిగి ఉంటాయి.

బాధితుడు లోడర్ స్క్రిప్ట్‌ను తెరిచినప్పుడు, అది దాడి చేసే వ్యక్తి-నియంత్రిత హోస్టింగ్ సర్వర్ నుండి మరొక హానికరమైన జిప్ ఫైల్‌ను బాధితుడి మెషీన్‌లోకి స్వయంచాలకంగా డౌన్‌లోడ్ చేస్తుంది. స్క్రిప్ట్ ఫైల్‌ను పెంచి, పేలోడ్‌ను అమలు చేస్తుంది. పేలోడ్ Laplas Clipper malwa లేదా MortalKombat Ransomware యొక్క GO వేరియంట్ కావచ్చు.

లోడర్ స్క్రిప్ట్ బాధితుడి మెషీన్‌లో అమలు చేయబడిన పేలోడ్‌ను ఒక ప్రక్రియగా అమలు చేస్తుంది మరియు ఇన్‌ఫెక్షన్ మార్కర్‌లను తొలగించడానికి డౌన్‌లోడ్ చేయబడిన మరియు పడిపోయిన ఏవైనా అసురక్షిత ఫైల్‌లను తీసివేస్తుంది.

MortalKombat Ransomware యొక్క బెదిరింపు సామర్థ్యాలు

MortalKombat Ransomware సృష్టికర్తలు లేదా వారి కార్యాచరణ వ్యూహం గురించి చాలా తక్కువగా తెలుసు. ransomware పేరు మరియు వాల్‌పేపర్ బాధితుడి సిస్టమ్‌లో పడిపోయేవి రెండు వీడియో గేమ్‌లు మరియు సినిమాల శ్రేణిని కలిగి ఉన్న ప్రముఖ మోర్టల్ కోంబాట్ మీడియా ఫ్రాంచైజీకి ఆమోదం.

MortalKombat బాధితుడి మెషీన్‌లో సిస్టమ్, అప్లికేషన్, డేటాబేస్, బ్యాకప్, వర్చువల్ మెషీన్ ఫైల్‌లు, అలాగే లాజికల్ డ్రైవ్‌లుగా మ్యాప్ చేయబడిన రిమోట్ లొకేషన్‌లలోని ఫైల్‌లతో సహా అనేక రకాల ఫైల్‌లను ఎన్‌క్రిప్ట్ చేయగల సామర్థ్యాన్ని కలిగి ఉంది. ఇది రాన్సమ్ నోట్‌ను డ్రాప్ చేస్తుంది మరియు ఫైల్‌లను ఎన్‌క్రిప్ట్ చేసిన తర్వాత బాధితుడి మెషీన్‌లోని వాల్‌పేపర్‌ను మారుస్తుంది. అయినప్పటికీ, MortalKombat ఎటువంటి వైపర్ ప్రవర్తనను ప్రదర్శించదు లేదా బాధితుడి మెషీన్‌లోని షాడో వాల్యూమ్ కాపీలను తొలగించదు. బదులుగా, ఇది విండోస్ ఎక్స్‌ప్లోరర్‌ను పాడు చేస్తుంది, విండోస్ స్టార్టప్ నుండి ఫోల్డర్‌లు మరియు అప్లికేషన్‌లను తీసివేస్తుంది మరియు రన్ కమాండ్ విండోను నిలిపివేస్తుంది, మెషీన్‌ను పనికిరాకుండా చేస్తుంది.

ముప్పు వెనుక ఉన్న సైబర్ నేరస్థులు తమ బాధితులతో కమ్యూనికేట్ చేయడానికి GitHubలో అందుబాటులో ఉన్న ప్రముఖ ఇన్‌స్టంట్ మెసేజింగ్ అప్లికేషన్ అయిన qTOXని ఉపయోగిస్తున్నారు. అదనంగా, వారు ఒక ఇమెయిల్ చిరునామాను అందిస్తారు - 'hack3dlikeapro[at]proton[.]me,' ప్రత్యామ్నాయ కమ్యూనికేషన్ మార్గంగా.

మొత్తంమీద, MortalKombat అనేది అత్యంత ప్రమాదకరమైన ransomware, ఇది బాధితుల మెషీన్‌లకు తీవ్ర నష్టం కలిగించవచ్చు మరియు విలువైన డేటాను కోల్పోతుంది. మీరు అలాంటి బెదిరింపుల పట్ల అప్రమత్తంగా ఉండాలి మరియు ransomware దాడులకు వ్యతిరేకంగా సిస్టమ్‌లను సురక్షితంగా ఉంచడానికి చురుకైన చర్యలు తీసుకోవాలి.