Inficeret (MedusaLocker) Ransomware vil låse offersystemer

Mens de har analyseret nye malware-prøver, er forskere stødt på en ransomware-variant fra MedusaLocker-familien, som de har kaldt "Inficeret". Denne ransomware fungerer ved at kryptere filer og tilføje udvidelsen ".infected" til deres navne. Derudover efterlader den en løsesum note med titlen "HOW_TO_BACK_FILES.html."

For at illustrere, hvordan Infected ændrer filnavne, når den krypterer dem, bliver "1.jpg" f.eks. "1.jpg.infected", og "2.png" omdannes til "2.png.infected."

Løsesedlen kommunikerer, at ofrets afgørende filer er blevet krypteret. Det understreger, at disse filer, selvom de er låste, forbliver sikre, men har gennemgået kryptering ved hjælp af en kombination af RSA- og AES-metoder. Noten advarer eksplicit mod ethvert forsøg på at gendanne disse filer ved hjælp af tredjepartssoftware, da sådanne forsøg ville føre til permanent korruption. Det fraråder også at ændre eller omdøbe de krypterede filer.

Notatet hævder, at det kun er ransomware-operatørerne, der kan løse problemet, og angiver, at ingen tredjepartssoftware kan hjælpe i denne sag. Ydermere nævner den indsamling af yderst fortrolige eller personlige data, som opbevares på en privat server. Hvis offeret vælger ikke at betale løsesummen, vil disse data enten blive offentliggjort eller solgt til en forhandler, hvorved de bliver offentligt tilgængelige.

Notatet indeholder kontaktoplysninger for at nå ud til operatørerne, herunder en Tor-baseret URL til kommunikation. Det giver instruktioner om, hvordan du får adgang til Tor-netværket og deltager i en chat med dem. Derudover giver den e-mail-adresser (ithelp02@securitymy.name og ithelp02@yousheltered.com) til kommunikation.

Løsesummen kan stige, hvis offeret ikke etablerer kontakt med operatørerne inden for 72 timer, hvilket tilføjer et tidsfølsomt aspekt til situationen.

Inficerede truer med at øge løsesummen på tre dage

Den fulde tekst af den inficerede løsesumseddel lyder som følger:

DIT PERSONLIGE ID:

DIT VIRKSOMHEDSNETVÆRK ER BLEVET PENETRERET
Alle dine vigtige filer er blevet krypteret!

Dine filer er sikre! Kun modificeret. (RSA+AES)

EVENTUELLE FORSØG PÅ GENDANNELSE AF DINE FILER MED TREDJEPARTS SOFTWARE
VIL PERMANENT KORRUPTERE DET.
MODIFICER IKKE KRYPTEREDE FILER.
OMKRYPT IKKE KRYPTEREDE FILER.

Ingen software tilgængelig på internettet kan hjælpe dig. Det er vi de eneste, der kan
løse dit problem.

Vi indsamlede meget fortrolige/personlige data. Disse data er i øjeblikket gemt på
en privat server. Denne server vil straks blive ødelagt efter din betaling.
Hvis du beslutter dig for ikke at betale, vil vi frigive dine data til offentligheden eller videresælgeren.
Så du kan forvente, at dine data bliver offentligt tilgængelige i den nærmeste fremtid.

Vi søger kun penge, og vores mål er ikke at skade dit omdømme eller forhindre
din virksomhed fra at køre.

Du kan sende os 2-3 ikke-vigtige filer, og vi vil dekryptere dem gratis
for at bevise, at vi er i stand til at give dine filer tilbage.

Kontakt os for pris og få dekrypteringssoftware.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Bemærk, at denne server kun er tilgængelig via Tor-browser

Følg instruktionerne for at åbne linket:

1. Indtast adressen "hxxps://www.torproject.org" i din internetbrowser. Det åbner Tor-webstedet.
2. Tryk på "Download Tor", og tryk derefter på "Download Tor Browser Bundle", installer og kør den.
3. Nu har du Tor browser. Åbn qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion i Tor-browseren
4. Start en chat og følg de yderligere instruktioner.
   Hvis du ikke kan bruge ovenstående link, så brug e-mailen:
   ithelp02@securitymy.name
   ithelp02@yousheltered.com

For at kontakte os skal du oprette en ny gratis e-mail-konto på webstedet: protonmail.com
HVIS DU IKKE KONTAKTER OS INDEN FOR 72 TIMER, VIL PRISEN VÆRE HØJERE.

Hvordan kan ransomware som inficeret komme på dit system?

Ransomware som Infected kan infiltrere dit system på forskellige måder. Her er nogle almindelige måder, hvorpå ransomware kan komme ind på din computer:

• Phishing-e-mails: Phishing-e-mails er en af de mest almindelige leveringsmetoder for ransomware. Cyberkriminelle sender vildledende e-mails, der ser ud til at være fra en legitim kilde, men de indeholder ondsindede vedhæftede filer eller links. Når du åbner den vedhæftede fil eller klikker på linket, kan den downloade og udføre ransomwaren på dit system.
• Ondsindede websteder: Besøg af ondsindede eller kompromitterede websteder kan også føre til ransomware-infektioner. Disse websteder kan udnytte sårbarheder i din webbrowser eller plugins til at downloade og installere ransomware uden din viden eller dit samtykke.
• Drive-By-downloads: Ransomware kan leveres gennem "drive-by-downloads", hvor malware automatisk downloades og installeres på dit system, når du besøger et kompromitteret eller ondsindet websted. Dette sker typisk uden brugerinteraktion.
• Malvertising: Cyberkriminelle kan bruge ondsindede reklamer (malvertising) på lovlige websteder til at distribuere ransomware. Ved at klikke på disse annoncer kan det udløse download og installation af ransomware.
• Softwaresårbarheder: Forældet eller ikke-patchet software kan udnyttes af ransomware. Hvis dit operativsystem eller dine programmer har kendte sårbarheder, der ikke er blevet rettet, kan angribere udnytte dem til at få adgang til dit system og implementere ransomware.
• Upålidelige downloads: Det kan være risikabelt at downloade software, filer eller torrents fra ikke-pålidelige eller uofficielle kilder. Nogle downloads kan være bundtet med ransomware eller anden malware, så det er vigtigt kun at downloade fra velrenommerede kilder.
• USB-drev og eksterne enheder: Ransomware kan spredes gennem inficerede USB-drev eller eksterne enheder. Hvis du tilslutter en enhed, der indeholder ransomware, til din computer, kan den hurtigt inficere dit system.