真人快打勒索软件

自 2022 年 12 月以来，身份不明的威胁行为者一直在使用两个相对较新的威胁程序——真人快打勒索软件和Laplas Clipper恶意软件的 GO 变体——从受害者那里收集加密货币。攻击者一直在 Internet 上扫描具有暴露的远程桌面协议 (RDP) 端口 3389 的易受攻击的机器，然后他们使用该端口获得对受害者系统的未授权访问。为了促进这次攻击，攻击者使用了他们的一个下载服务器，该服务器还托管了 MortalKombat Ransomware。恶意软件研究人员在一份报告中发布了有关使用的恶意软件工具和攻击活动的详细信息。

在分析了 MortalKombat Ransomware 的代码、类名和注册表密钥字符串后，研究人员非常有信心地得出结论，该威胁属于勒索软件Xorist家族。这种勒索软件以使用强大的加密算法加密受害者的文件，然后要求支付赎金来换取解密密钥而闻名。

部署 MortalKombat 勒索软件的多阶段感染链

攻击活动通常以网络钓鱼电子邮件开始。攻击者通常通过电子邮件传送恶意软件或勒索软件，然后通过删除损坏文件的任何证据来继续掩盖他们的踪迹。这使得信息安全研究人员很难分析操作。

最初的网络钓鱼电子邮件包含一个包含 BAT 加载程序脚本的受损 ZIP 文件。诱饵电子邮件看起来好像来自合法的全球加密货币网关 CoinPayments。当然，该实体与这些电子邮件信息没有任何关联。
此外，为了进一步愚弄他们的目标，这些电子邮件有一个欺骗性的发件人电子邮件。

当受害者打开加载程序脚本时，它会自动从攻击者控制的托管服务器上将另一个恶意 ZIP 文件下载到受害者的机器上。然后脚本会扩充文件并执行有效负载。有效负载可以是 Laplas Clipper 恶意软件的 GO 变体或 MortalKombat Ransomware。

加载程序脚本将部署的有效负载作为受害者机器上的一个进程运行，然后删除所有下载和丢弃的不安全文件以消除感染标记。

MortalKombat 勒索软件的威胁能力

人们对 MortalKombat Ransomware 的创建者或他们的运营策略知之甚少。勒索软件的名称和它在受害者系统上投放的墙纸都是对流行的真人快打媒体专营权的认可，其中包括一系列视频游戏和电影。

MortalKombat 能够加密受害者机器上的各种文件，包括系统、应用程序、数据库、备份、虚拟机文件，以及映射为逻辑驱动器的远程位置上的文件。它会在加密文件后投放赎金票据并更改受害者机器上的墙纸。但是，MortalKombat 不会显示任何擦除器行为或删除受害者机器上的卷影副本。相反，它会破坏 Windows 资源管理器，从 Windows 启动中删除文件夹和应用程序，并禁用运行命令窗口，使机器无法运行。

威胁背后的网络犯罪分子使用 qTOX（GitHub 上提供的一种流行的即时消息应用程序）与受害者进行通信。此外，他们还提供了一个电子邮件地址——“hack3dlikeapro[at]proton[.]me”，作为另一种通信方式。

总的来说，MortalKombat 是一种具有高度威胁性的勒索软件，可能会对受害者的机器造成严重损害，并导致有价值的数据丢失。您应该对此类威胁保持警惕，并采取主动措施保护系统免受勒索软件攻击。