OlSaveLock Ransomware er en ny MedusaLocker-variant

Under en rutinemæssig analyse af nye ondsindede filer opdagede vores team af forskere OlSaveLock ransomware. Denne ondsindede software fungerer ved at kryptere data og kræve en løsesum i bytte for dekryptering. Især er OlSaveLock medlem af den berygtede MedusaLocker ransomware-familie.

I vores testmiljø krypterede OlSaveLock effektivt filer og tilføjede en særskilt ".olsavelock31"-udvidelse til deres originale filnavne. For eksempel vil en fil med navnet "1.jpg" blive vist som "1.jpg.olsavelock31", mens "2.png" bliver til "2.png.olsavelock31" og så videre. Det er vigtigt at bemærke, at det specifikke nummer i udvidelsen kan variere afhængigt af varianten af ransomware. Derudover deponerede OlSaveLock en løsesumseddel med navnet "How_to_back_files.html" på skrivebordet.

Indholdet af løsesumsedlen indikerer tydeligt, at OlSaveLock primært er rettet mod store organisationer frem for individuelle hjemmebrugere. Ifølge meddelelsen er ofrets virksomhedsnetværk blevet kompromitteret. Omfanget af skaden beskrives som kryptering af vigtige filer ved hjælp af RSA og AES kryptografiske algoritmer, sammen med uautoriseret udtrækning af følsomme og personlige data.

Notatet siger, at betaling af løsesum er afgørende for at dekryptere de berørte filer og forhindre eksponering eller salg af de stjålne oplysninger. Inden betalingen foretages, tilbydes offeret muligheden for at teste dekrypteringsprocessen på tre filer, der ikke indeholder værdifulde data.

Selvom det specifikke beløb for løsesummen ikke er specificeret i notatet, er det underforstået, at summen vil stige, hvis offeret undlader at etablere kontakt med angriberne inden for 72 timer. Desuden advares offeret eksplicit om, at ethvert forsøg på at omdøbe eller ændre de krypterede filer, såvel som brugen af tredjeparts dekrypteringsværktøjer, vil resultere i permanent datatab.

OlSaveLock løsesumsnotat truer løsesumsstigning på 72 timer

Den fulde tekst af OlSaveLock løsesumseddel lyder som følger:

DIT PERSONLIGE ID:

DIT VIRKSOMHEDSNETVÆRK ER BLEVET PENETRERET
Alle dine vigtige filer er blevet krypteret!

Dine filer er sikre! Kun modificeret. (RSA+AES)

EVENTUELLE FORSØG PÅ GENDANNELSE AF DINE FILER MED TREDJEPARTS SOFTWARE
VIL PERMANENT KORRUPTERE DET.
MODIFICER IKKE KRYPTEREDE FILER.
OMKRYPT IKKE KRYPTEREDE FILER.

Ingen software tilgængelig på internettet kan hjælpe dig. Det er vi de eneste, der kan
løse dit problem.

Vi indsamlede meget fortrolige/personlige data. Disse data er i øjeblikket gemt på
en privat server. Denne server vil straks blive ødelagt efter din betaling.
Hvis du beslutter dig for ikke at betale, vil vi frigive dine data til offentligheden eller videresælgeren.
Så du kan forvente, at dine data bliver offentligt tilgængelige i den nærmeste fremtid.

Vi søger kun penge, og vores mål er ikke at skade dit omdømme eller forhindre
din virksomhed fra at køre.

Du kan sende os 2-3 ikke-vigtige filer, og vi vil dekryptere dem gratis
for at bevise, at vi er i stand til at give dine filer tilbage.

Kontakt os for pris og få dekrypteringssoftware.

e-mail:
ithelp10@securitymy.name
ithelp10@yousheltered.com

• For at kontakte os skal du oprette en ny gratis e-mail-konto på webstedet: protonmail.com
  HVIS DU IKKE KONTAKTER OS INDEN FOR 72 TIMER, VIL PRISEN VÆRE HØJERE.

Hvordan leveres ransomware som OlSaveLock normalt til offersystemet?

Levering af ransomware som OlSaveLock til offersystemer involverer typisk forskellige metoder og teknikker. Her er nogle almindelige måder, hvorpå ransomware normalt leveres:

• Phishing-e-mails: Phishing-e-mails er fortsat en populær metode til at levere ransomware. Angribere sender tilsyneladende legitime e-mails med ondsindede vedhæftede filer eller links. Disse e-mails efterligner ofte velrenommerede organisationer, narrer modtagere til at åbne vedhæftede filer eller klikker på links, der downloader ransomwaren til deres systemer.
• Ondsindede downloads: Ransomware kan også leveres gennem ondsindede downloads fra kompromitterede websteder eller vildledende reklamer (malvertising). Besøg på kompromitterede websteder eller klik på ondsindede annoncer kan udløse den automatiske download og udførelse af ransomware-nyttelasten.
• Udnyttelsessæt: Udnyttelsessæt er værktøjssæt, der udnytter sårbarheder i software eller operativsystemer. Ved at udnytte sikkerhedssvagheder kan de stille og roligt levere og installere ransomware på sårbare systemer uden brugerinteraktion. Disse sårbarheder kan findes i forældet software eller ikke-patchede systemer.
• Remote Desktop Protocol (RDP)-angreb: Angribere kan angribe systemer, der har Remote Desktop Protocol (RDP) aktiveret, men som har svage eller let gættelige loginoplysninger. De forsøger at få uautoriseret adgang til systemet og implementerer derefter ransomwaren.
• Ondsindede links og websteder: Ransomware kan distribueres gennem ondsindede links, der deles via sociale medier, instant messaging-platforme eller kompromitterede websteder. Ved at klikke på disse links eller besøge inficerede websteder kan det udløse download og eksekvering af ransomware.
• Drive-by-downloads: Drive-by-downloads forekommer, når ransomware automatisk downloades og installeres uden brugerens viden eller interaktion, mens du besøger et kompromitteret eller ondsindet websted. Ved at udnytte sårbarheder i browsere eller plugins leveres ransomwaren snigende.

Det er vigtigt at bemærke, at disse leveringsmetoder kan udvikle sig, og nye teknikker kan dukke op over tid. For at beskytte mod ransomware-angreb er det afgørende at vedligeholde opdateret sikkerhedssoftware, regelmæssigt anvende patches og opdateringer, udvise forsigtighed, når du åbner vedhæftede filer i e-mails eller klikker på links, og implementerer stærke adgangskontroller og sikkerhedsforanstaltninger på systemer og netværk. Regelmæssig sikkerhedskopiering af data og brugeruddannelse i at genkende og undgå potentielle trusler spiller også en afgørende rolle i at afbøde virkningen af ransomware-angreb.