该.{mrgrayhorse@protonmail.com}MGH勒索病毒是全球骗子恶意软件家族试图感染更多用户尽可能的新的迭代。目前没有关于其背后的黑客集体的信息。这可能意味着犯罪分子可能已采用原始的GlobeImposter代码并对其进行修改以创建新病毒,或者他们可能已经在黑暗市场上为其他群体支付了定制版本。
流行的方法包括协调电子邮件网络钓鱼邮件,这些邮件构成由知名公司和服务发送的合法通知。它们将包含虚假或被盗内容,通过提供危险文件或链接来诱导病毒感染。类似的策略是创建众多恶意网站,这些网站是熟悉的门户网站或服务所熟悉的托管域。另一种方法是将必要的代码嵌入到Web浏览器扩展中,这些扩展通常使用虚假的用户评论和开发人员凭证上传到其相关的存储库。
已知该恶意软件系列的勒索软件应变由可由这些源中的任何源分发的各种文件载体传播。常见的包括创建所有流行格式的恶意文档:电子表格,演示文稿,数据库和文本文档。另一种类型是恶意应用程序安装程序的创建- 犯罪组将专注于通常由用户获取和安装的软件。
如果.{mrgrayhorse@protonmail.com}MGH勒索病毒遵循先前GlobeImposter菌株设置的行为模式,则将启动典型模块。这可能包括数据窃取,它将扫描受感染的计算机以获取敏感信息。它既可以用于揭示受害者的身份,也可以为受感染的计算机分配唯一的ID。如果发现这些数据在内存中运行或安装在硬盘上,则可以通过另一个用于绕过安全应用程序的模块进一步使用此数据:防病毒程序,防火墙,沙箱环境和虚拟机主机。
安装此威胁的其他后果包括:
- Windows注册表和系统更改 - 此类修改可能导致主机操作系统的危险修改。这可能导致严重的性能问题,这可能导致在使用计算机时出现问题,错误和数据丢失。
- 启动选项修改 - .{mrgrayhorse@protonmail.com}MGH勒索病毒可以设置为在计算机开机时自动启动。无法还原此设置更改,受害者可能无法访问任何恢复选项。
- 其他恶意软件交付 - Globe Imposter勒索软件可用作其他恶意软件的管道,用于受害者主机:特洛伊木马,矿工等。
一旦所有组件都运行完毕,将开始实际的文件处理。使用强密码目标用户数据将被加密并使计算机用户无法使用。这包括流行的文件类型:文档,档案,数据库,多媒体文件,应用程序等。他们将收到.{mrgrayhorse@protonmail.com}MGH扩展名。可以制作关联赎金票据,壁纸或锁屏实例以勒索受害者向黑客支付“解密费”。
名称 | 后缀.{mrgrayhorse@protonmail.com}MGH勒索病毒 |
类型 | 勒索软件,加密病毒 |