Reparation Ransomware er baseret på MedusaLocker

Mens vi gennemgik nyligt opdagede fileksempler, stødte vi på en ondsindet software ved navn Repair, som tilhører MedusaLocker ransomware-familien. Reparation fungerer som ransomware, der krypterer data.

Under vores analyse observerede vi, at programmet krypterede filer og tilføjede en ".repair"-udvidelse til deres filnavne. For eksempel dukkede en fil oprindeligt med navnet "1.jpg" op som "1.jpg.repair", "2.png" som "2.png.repair" og så videre.

Når krypteringsprocessen var fuldført, genererede ransomwaren en HTML-fil med titlen "How_to_back_files.html", som indeholdt løsesumsedlen. Udover at kræve betaling for dekryptering, anvender denne ransomware dobbelt afpresningstaktik ved at true ofre med datalæk.

Løsesedlen indikerer tydeligt, at Repair primært retter sig mod virksomheder frem for individuelle brugere. Den informerer om, at filerne på virksomhedens netværk er blevet krypteret, og fortrolige eller personlige data er blevet udtrukket.

Notatet understreger, at kun angriberne har evnen til at gendanne de krypterede filer. Ethvert forsøg på at omdøbe, ændre eller manuelt dekryptere filerne vil resultere i irreversibel datakorruption.

For at dekryptere filerne er offeret forpligtet til at betale en løsesum med en advarsel om, at nægtelse af at overholde vil føre til det lækkede eller solgte indhold. Hvis der ikke etableres kontakt med de cyberkriminelle inden for 72 timer, vil det føre til en stigning i løsesummen. Forud for at imødekomme disse krav, får offeret lov til at teste dekryptering på op til tre uvæsentlige filer.

Reparation af løsesumnotatkopier MedusaLocker-skabelon

Den komplette tekst i Repair løsesum noten lyder som følger:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Hvad er de mest almindelige distributionsvektorer til ransomware?

Ransomware kan infiltrere systemer gennem forskellige distributionsvektorer, men nogle af de mest almindelige inkluderer:

Phishing-e-mails: Phishing-e-mails er en primær metode til distribution af ransomware. Angribere sender vildledende e-mails, der indeholder ondsindede vedhæftede filer eller links, der ofte udgiver sig for at være legitime enheder eller organisationer. Ved at klikke på disse vedhæftede filer eller links kan det udløse download og eksekvering af ransomware.

Ondsindede websteder: Ransomware kan distribueres gennem kompromitterede eller ondsindede websteder. At besøge sådanne websteder eller klikke på ondsindede annoncer kan føre til automatisk download og installation af ransomware på ofrets system.

Udnyttelsessæt: Udnyttelsessæt er værktøjssæt, der indeholder forudskrevet kode designet til at udnytte sårbarheder i software eller webbrowsere. Cyberkriminelle bruger udnyttelsessæt til automatisk at identificere og udnytte sårbarheder i systemer, hvilket giver dem mulighed for at levere ransomware-nyttelast uden brugerinteraktion.

Softwaresårbarheder: Ransomware-skabere udnytter ofte kendte sårbarheder i operativsystemer eller softwareapplikationer til at få uautoriseret adgang til systemer. Manglende installation af sikkerhedsrettelser og opdateringer efterlader systemerne modtagelige for udnyttelse af ransomware.

Drive-by-downloads: Drive-by-downloads forekommer, når ransomware downloades og installeres på et offers system uden deres viden eller samtykke. Dette sker ofte, når du besøger kompromitterede websteder eller klikker på ondsindede links.

Social Engineering Tactics: Ransomware-distributører bruger ofte social engineering-taktikker til at narre brugere til at udføre ondsindet kode. Dette kan omfatte at lokke brugere til at downloade og køre skadelig software gennem vildledende annoncer, falske softwareopdateringer eller svigagtige tilbud.

For at mindske risikoen for ransomware-infektioner bør brugere og organisationer implementere robuste cybersikkerhedsforanstaltninger, såsom regelmæssige softwareopdateringer, medarbejderuddannelse i at identificere phishing-e-mails og brug af velrenommeret antivirussoftware og firewalls. Derudover er vedligeholdelse af regelmæssige sikkerhedskopier af kritiske data afgørende for genoprettelse i tilfælde af et ransomware-angreb.