真人快打勒索軟件

自 2022 年 12 月以來，身份不明的威脅行為者一直在使用兩個相對較新的威脅程序——真人快打勒索軟件和Laplas Clipper惡意軟件的 GO 變體——從受害者那裡收集加密貨幣。攻擊者一直在 Internet 上掃描具有暴露的遠程桌面協議 (RDP) 端口 3389 的易受攻擊的機器，然後他們使用該端口獲得對受害者係統的未授權訪問。為了促進這次攻擊，攻擊者使用了他們的一個下載服務器，該服務器還託管了 MortalKombat Ransomware。惡意軟件研究人員在一份報告中發布了有關使用的惡意軟件工具和攻擊活動的詳細信息。

在分析了 MortalKombat Ransomware 的代碼、類名和註冊表密鑰字符串後，研究人員非常有信心地得出結論，該威脅屬於勒索軟件Xorist家族。這種勒索軟件以使用強大的加密算法加密受害者的文件，然後要求支付贖金來換取解密密鑰而聞名。

部署 MortalKombat 勒索軟件的多階段感染鏈

攻擊活動通常以網絡釣魚電子郵件開始。攻擊者通常通過電子郵件傳送惡意軟件或勒索軟件，然後通過刪除損壞文件的任何證據來繼續掩蓋他們的踪跡。這使得信息安全研究人員很難分析操作。

最初的網絡釣魚電子郵件包含一個包含 BAT 加載程序腳本的受損 ZIP 文件。誘餌電子郵件看起來好像來自合法的全球加密貨幣網關 CoinPayments。當然，該實體與這些電子郵件信息沒有任何關聯。
此外，為了進一步愚弄他們的目標，這些電子郵件有一個欺騙性的發件人電子郵件。

當受害者打開加載程序腳本時，它會自動從攻擊者控制的託管服務器上將另一個惡意 ZIP 文件下載到受害者的機器上。然後腳本會擴充文件並執行有效載荷。有效負載可以是 Laplas Clipper 惡意軟件的 GO 變體或 MortalKombat Ransomware。

加載程序腳本將部署的有效負載作為受害者機器上的一個進程運行，然後刪除所有下載和丟棄的不安全文件以消除感染標記。

MortalKombat 勒索軟件的威脅能力

人們對 MortalKombat Ransomware 的創建者或他們的運營策略知之甚少。勒索軟件的名稱和它在受害者係統上投放的牆紙都是對流行的真人快打媒體專營權的認可，其中包括一系列視頻遊戲和電影。

MortalKombat 能夠加密受害者機器上的各種文件，包括系統、應用程序、數據庫、備份、虛擬機文件，以及映射為邏輯驅動器的遠程位置上的文件。它會在加密文件後投放贖金票據並更改受害者機器上的牆紙。但是，MortalKombat 不會顯示任何擦除器行為或刪除受害者機器上的捲影副本。相反，它會破壞 Windows 資源管理器，從 Windows 啟動中刪除文件夾和應用程序，並禁用運行命令窗口，使機器無法運行。

威脅背後的網絡犯罪分子使用 qTOX（GitHub 上提供的一種流行的即時消息應用程序）與受害者進行通信。此外，他們還提供了一個電子郵件地址——“hack3dlikeapro[at]proton[.]me”，作為另一種通信方式。

總的來說，MortalKombat 是一種具有高度威脅性的勒索軟件，可能會對受害者的機器造成嚴重損害，並導致有價值的數據丟失。您應該對此類威脅保持警惕，並採取主動措施保護系統免受勒索軟件攻擊。