Protect (MedusaLocker) Ransomware søger at kryptere virksomhedsdata

Under vores undersøgelse af de seneste filindsendelser gjorde vores team en unik opdagelse: fremkomsten af en ransomware-variant kendt som Protect, der tilhører MedusaLocker ransomware-familien. Som med andre ransomware-typer er det primære formål med Protect at kryptere data og kræve en løsesum for dets dekryptering.

For at undersøge Protects adfærd udførte vi en prøve på vores testmaskine, hvilket resulterede i kryptering af filer. Navnlig tilføjede ransomwaren en ".protect3"-udvidelse til de originale filnavne. For eksempel blev en fil med navnet "1.jpg" transformeret til "1.jpg.protect3", mens "2.png" blev til "2.png.protect3" og så videre. Det er værd at nævne, at den numeriske værdi i udvidelsen kan variere afhængigt af den specifikke variant af ransomware.

Efter at have fuldført krypteringsprocessen genererede Protect en løsesumseddel med titlen "How_to_back_files.html." Indholdet af noten indikerer, at Protect (MedusaLocker) ransomware specifikt er rettet mod virksomheder frem for individuelle hjemmebrugere.

Løsesedlen formidler til offeret, at deres firmanetværk er blevet kompromitteret, og alle kritiske filer er blevet krypteret ved hjælp af RSA- og AES-krypteringsalgoritmer. Den advarer eksplicit mod at omdøbe, ændre eller forsøge at dekryptere de låste data, da sådanne handlinger ville gøre dem permanent utilgængelige. Notatet understreger, at kun angriberne har evnen til at gendanne de berørte filer.

Endvidere erklærer løsesumsedlen, at fortrolige og personlige oplysninger er blevet udtrukket fra det kompromitterede netværk. Offeret bliver bedt om at kontakte cyberkriminelle inden for en 72-timers tidsramme og instrueres i at indsende 2 til 3 ikke-essentielle filer som et middel til at teste dekrypteringsprocessen. Manglende overholdelse af kravene om løsesum vil resultere i, at gerningsmændene lækker de stjålne data online.

Protect Ransom Note lover dekryptering af to filer

Den fulde tekst af Protect løsesum-notatet lyder som følger:

DIT PERSONLIGE ID:

DIT VIRKSOMHEDSNETVÆRK ER BLEVET PENETRERET
Alle dine vigtige filer er blevet krypteret!

Dine filer er sikre! Kun modificeret. (RSA+AES)

EVENTUELLE FORSØG PÅ GENDANNELSE AF DINE FILER MED TREDJEPARTS SOFTWARE
VIL PERMANENT KORRUPTERE DET.
MODIFICER IKKE KRYPTEREDE FILER.
OMKRYPT IKKE KRYPTEREDE FILER.

Ingen software tilgængelig på internettet kan hjælpe dig. Det er vi de eneste, der kan
løse dit problem.

Vi indsamlede meget fortrolige/personlige data. Disse data er i øjeblikket gemt på
en privat server. Denne server vil straks blive ødelagt efter din betaling.
Hvis du beslutter dig for ikke at betale, vil vi frigive dine data til offentligheden eller videresælgeren.
Så du kan forvente, at dine data bliver offentligt tilgængelige i den nærmeste fremtid.

Vi søger kun penge, og vores mål er ikke at skade dit omdømme eller forhindre
din virksomhed fra at køre.

Du kan sende os 2-3 ikke-vigtige filer, og vi vil dekryptere dem gratis
for at bevise, at vi er i stand til at give dine filer tilbage.

Kontakt os for pris og få dekrypteringssoftware.

e-mail:
ithelp01@securitymy.name
ithelp01@yousheltered.com

• For at kontakte os skal du oprette en ny gratis e-mail-konto på webstedet: protonmail.com
  HVIS DU IKKE KONTAKTER OS INDEN FOR 72 TIMER, VIL PRISEN VÆRE HØJERE.
• Tor-chat for altid at være i kontakt:

Hvordan kan du beskytte dine værdifulde data mod ransomware?

Beskyttelse af dine værdifulde data mod ransomware kræver en proaktiv og flerlags tilgang. Her er flere trin, du kan tage for at forbedre dit forsvar mod ransomware-angreb:

• Sikkerhedskopier dine data: Sikkerhedskopier regelmæssigt dine vigtige filer og data til en ekstern enhed eller skylager. Sørg for, at sikkerhedskopierne er offline eller gemt på et separat netværk for at forhindre dem i at blive kompromitteret i et angreb. Bekræft integriteten af dine sikkerhedskopier og test gendannelsesprocessen for at sikre deres effektivitet.
• Hold software opdateret: Hold dit operativsystem, applikationer og sikkerhedssoftware opdateret. Aktiver automatiske opdateringer, når det er muligt for at sikre, at du har de nyeste patches og sikkerhedsrettelser, da de ofte adresserer sårbarheder, som ransomware kan udnytte.
• Brug robust sikkerhedssoftware: Installer velrenommeret antivirus- og anti-malware-software på alle dine enheder. Aktiver scanning i realtid og automatiske opdateringer for at opdage og blokere ransomware-trusler. Overvej at bruge software, der tilbyder adfærdsbaseret detektion for at identificere mistænkelige aktiviteter.
• Vær forsigtig med e-mail og downloads: Vær forsigtig, når du åbner vedhæftede filer eller klikker på links, især fra ukendte afsendere eller mistænkelige e-mails. Undgå at downloade filer fra upålidelige kilder eller besøge risikable websteder, der kan være vært for ondsindet indhold. Implementer e-mail-filtrerings- og webfiltreringsløsninger for at blokere kendte ondsindede vedhæftede filer og URL'er.
• Aktiver Firewall og Intrusion Detection Systems: Aktiver firewalls på dit netværk og dine enheder for at bortfiltrere ondsindet netværkstrafik. Overvej desuden at implementere systemer til registrering og forebyggelse af indtrængen (IDPS) for at overvåge og blokere uautoriserede adgangsforsøg.
• Deaktiver makroer og aktivt indhold: Deaktiver makroer i kontorproduktivitetssoftware såsom Microsoft Office, medmindre de er nødvendige til dit arbejde. Vær forsigtig, når du aktiverer aktivt indhold, såsom makroer eller JavaScript, i dokumenter eller websteder, da de kan bruges til at levere ransomware-nyttelast.
• Brug stærke, unikke adgangskoder: Implementer stærke, unikke adgangskoder til alle dine konti, inklusive dit operativsystem, applikationer og onlinetjenester. Overvej at bruge en adgangskodeadministrator til sikkert at gemme og generere komplekse adgangskoder.