Repair Ransomware basiert auf MedusaLocker

Beim Durchsehen neu entdeckter Dateibeispiele stießen wir auf eine Schadsoftware namens Repair, die zur MedusaLocker-Ransomware-Familie gehört. Repair fungiert als Ransomware, die Daten verschlüsselt.

Bei unserer Analyse stellten wir fest, dass das Programm Dateien verschlüsselte und ihren Dateinamen die Erweiterung „.repair“ hinzufügte. So erschien beispielsweise eine Datei mit dem ursprünglichen Namen „1.jpg“ als „1.jpg.repair“, „2.png“ als „2.png.repair“ und so weiter.

Sobald der Verschlüsselungsprozess abgeschlossen war, generierte die Ransomware eine HTML-Datei mit dem Titel „How_to_back_files.html“, die den Lösegeldbrief enthielt. Abgesehen davon, dass diese Ransomware eine Zahlung für die Entschlüsselung verlangt, wendet sie eine doppelte Erpressungstaktik an, indem sie den Opfern mit Datenlecks droht.

Aus der Lösegeldforderung geht klar hervor, dass Repair in erster Linie auf Unternehmen und nicht auf einzelne Benutzer abzielt. Sie informiert darüber, dass die Dateien im Unternehmensnetzwerk verschlüsselt und vertrauliche oder persönliche Daten extrahiert wurden.

Der Hinweis betont, dass nur Angreifer die verschlüsselten Dateien wiederherstellen können. Jeder Versuch, die Dateien umzubenennen, zu ändern oder manuell zu entschlüsseln, führt zu einer irreversiblen Beschädigung der Daten.

Um die Dateien zu entschlüsseln, muss das Opfer ein Lösegeld zahlen. Es wird außerdem gewarnt, dass bei Weigerung der Zahlung die Inhalte weitergegeben oder verkauft werden. Wenn innerhalb von 72 Stunden kein Kontakt zu den Cyberkriminellen aufgenommen wird, erhöht sich der Lösegeldbetrag. Bevor das Opfer diese Forderungen erfüllt, darf es die Entschlüsselung an bis zu drei unwichtigen Dateien testen.

Lösegeldscheinkopien reparieren MedusaLocker-Vorlage

Der vollständige Text des Lösegeldbriefs von Repair lautet wie folgt:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Was sind die häufigsten Verbreitungsvektoren für Ransomware?

Ransomware kann Systeme über verschiedene Verbreitungswege infiltrieren. Zu den häufigsten zählen:

Phishing-E-Mails: Phishing-E-Mails sind eine der Hauptmethoden zur Verbreitung von Ransomware. Angreifer versenden betrügerische E-Mails mit schädlichen Anhängen oder Links und geben sich dabei oft als legitime Unternehmen oder Organisationen aus. Durch Klicken auf diese Anhänge oder Links kann der Download und die Ausführung von Ransomware ausgelöst werden.

Bösartige Websites: Ransomware kann über kompromittierte oder bösartige Websites verbreitet werden. Der Besuch solcher Websites oder das Anklicken bösartiger Anzeigen kann zum automatischen Download und zur Installation von Ransomware auf dem System des Opfers führen.

Exploit-Kits: Exploit-Kits sind Toolkits, die vorgefertigten Code enthalten, der Schwachstellen in Software oder Webbrowsern ausnutzen soll. Cyberkriminelle verwenden Exploit-Kits, um Schwachstellen in Systemen automatisch zu identifizieren und auszunutzen. So können sie Ransomware-Payloads ohne Benutzerinteraktion bereitstellen.

Software-Schwachstellen: Ransomware-Entwickler nutzen häufig bekannte Schwachstellen in Betriebssystemen oder Softwareanwendungen aus, um unbefugten Zugriff auf Systeme zu erhalten. Wenn keine Sicherheitspatches und -updates installiert werden, sind Systeme anfällig für die Ausnutzung durch Ransomware.

Drive-by-Downloads: Drive-by-Downloads treten auf, wenn Ransomware ohne Wissen oder Zustimmung des Opfers heruntergeladen und auf dessen System installiert wird. Dies geschieht häufig beim Besuch kompromittierter Websites oder beim Klicken auf bösartige Links.

Social-Engineering-Taktiken: Ransomware-Verteiler verwenden häufig Social-Engineering-Taktiken, um Benutzer dazu zu bringen, Schadcode auszuführen. Dies kann beispielsweise das Verleiten von Benutzern zum Herunterladen und Ausführen von Schadsoftware durch irreführende Werbung, gefälschte Software-Updates oder betrügerische Angebote umfassen.

Um das Risiko von Ransomware-Infektionen zu verringern, sollten Benutzer und Organisationen robuste Cybersicherheitsmaßnahmen implementieren, wie z. B. regelmäßige Software-Updates, Schulungen der Mitarbeiter zum Erkennen von Phishing-E-Mails und die Verwendung vertrauenswürdiger Antivirensoftware und Firewalls. Darüber hinaus ist die regelmäßige Sicherung kritischer Daten für die Wiederherstellung im Falle eines Ransomware-Angriffs unerlässlich.