Το Genesis Ransomware είναι ένας κλώνος MedusaLocker

Η ομάδα μας εντόπισε το ransomware Genesis, το οποίο ανήκει στην οικογένεια ransomware MedusaLocker. Αυτός ο τύπος κακόβουλου λογισμικού κρυπτογραφεί αρχεία και απαιτεί πληρωμή για την αποκρυπτογράφηση τους.

Κατά τη διάρκεια της δοκιμής μας, το ransomware Genesis (MedusaLocker) κρυπτογραφούσε αρχεία στο δοκιμαστικό μας μηχάνημα και πρόσθεσε μια επέκταση ".genesis15" στα ονόματα των αρχείων τους (σημειώστε ότι ο αριθμός μπορεί να διαφέρει ανάλογα με την παραλλαγή του προγράμματος). Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.jpg" μετατράπηκε σε "1.jpg.genesis15" και το "2.png" έγινε "2.png.genesis15".

Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, το ransomware κατέθεσε ένα σημείωμα λύτρων με το όνομα "HOW_TO_BACK_FILES.html". Το μήνυμα στο αρχείο HTML υποδεικνύει ότι το κακόβουλο λογισμικό Genesis (MedusaLocker) στοχεύει συγκεκριμένα εταιρείες και όχι μεμονωμένους χρήστες. Σύμφωνα με το σημείωμα, το δίκτυο της εταιρείας του θύματος έχει παραβιαστεί και τα κρυπτογραφημένα αρχεία, που ασφαλίστηκαν με κρυπτογραφικούς αλγόριθμους RSA και AES, είχαν επίσης εξαιρετικά ευαίσθητα δεδομένα που εξήχθησαν από το δίκτυο.

Το θύμα προειδοποιείται ότι η αλλαγή των ονομάτων των επηρεαζόμενων αρχείων, η πραγματοποίηση τροποποιήσεων ή η χρήση λογισμικού ανάκτησης τρίτων μπορεί να οδηγήσει σε μόνιμη απώλεια δεδομένων. Για να ξεκινήσει η διαδικασία αποκρυπτογράφησης, το θύμα καλείται να πληρώσει λύτρα. Αν και το ακριβές ποσό δεν προσδιορίζεται στο σημείωμα, αναφέρεται ότι η επικοινωνία με τους επιτιθέμενους μετά από 72 ώρες θα οδηγήσει σε αυξημένα λύτρα.

Πριν πραγματοποιήσει οποιαδήποτε πληρωμή, το θύμα έχει την επιλογή να δοκιμάσει την αποκρυπτογράφηση σε τρία αρχεία. Η μη συμμόρφωση με τις απαιτήσεις του κυβερνοεγκληματία μπορεί να οδηγήσει σε πώληση ή διαρροή των κλεμμένων δεδομένων.

Genesis Ransom Note Copies MedusaLocker

Το πλήρες κείμενο του σημειώματος για τα λύτρα της Γένεσης έχει ως εξής:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Πώς το Ransomware διανέμεται συνήθως στο διαδίκτυο;

Το Ransomware διανέμεται συνήθως στο διαδίκτυο μέσω διαφόρων μεθόδων, εκμεταλλευόμενοι ευπάθειες και ανυποψίαστους χρήστες. Μερικές κοινές μέθοδοι διανομής περιλαμβάνουν:

Ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά μηνύματα ηλεκτρονικού ψαρέματος για την παράδοση ransomware. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να περιέχουν κακόβουλα συνημμένα ή συνδέσμους στους οποίους, όταν κάνετε κλικ, πραγματοποιούν λήψη και εκτέλεση του ransomware στο σύστημα του θύματος. Τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν σχεδιαστεί για να εξαπατούν τους χρήστες να ανοίξουν το συνημμένο ή να κάνουν κλικ στον σύνδεσμο, συχνά παριστάνοντας ως νόμιμες οντότητες ή επείγοντα μηνύματα.

Κακόβουλοι ιστότοποι: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστοτόπους μπορεί να εκθέσει τους χρήστες σε λήψεις μέσω κινητής τηλεφωνίας. Σε αυτό το σενάριο, το κακόβουλο λογισμικό, συμπεριλαμβανομένου του ransomware, γίνεται αυτόματα λήψη και εκτέλεση στο σύστημα του χρήστη χωρίς τη γνώση ή τη συγκατάθεσή του. Αυτή η μέθοδος συχνά σχετίζεται με ιστότοπους που φιλοξενούν κακόβουλο περιεχόμενο ή εκμεταλλεύονται ευπάθειες λογισμικού.

Κακόβουλη διαφήμιση: Η κακόβουλη διαφήμιση ή κακόβουλη διαφήμιση περιλαμβάνει την τοποθέτηση κακόβουλου κώδικα σε διαδικτυακές διαφημίσεις. Όταν οι χρήστες κάνουν κλικ σε αυτές τις διαφημίσεις, ενδέχεται να κατεβάσουν και να εγκαταστήσουν εν αγνοία τους ransomware στις συσκευές τους. Η κακόβουλη διαφήμιση μπορεί να προκύψει σε νόμιμους ιστότοπους μέσω δικτύων διαφημίσεων που έχουν παραβιαστεί.

Λήψεις Drive-by: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να εκμεταλλευτούν ευπάθειες σε λογισμικό, προγράμματα περιήγησης ή λειτουργικά συστήματα για να ξεκινήσουν λήψεις μέσω Drive. Αυτή η μέθοδος επιτρέπει την αυτόματη λήψη και εκτέλεση ransomware όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ή κακόβουλο ιστότοπο χωρίς να απαιτείται καμία αλληλεπίδραση.

Watering Hole Attacks: Στις επιθέσεις watering hole, οι χάκερ στοχεύουν ιστοσελίδες που συχνάζουν μια συγκεκριμένη ομάδα ή βιομηχανία. Διακυβεύοντας αυτούς τους ιστότοπους με ransomware, οι εισβολείς μπορούν να μολύνουν τα συστήματα ατόμων ή οργανισμών που επισκέπτονται αυτούς τους ιστότοπους, αξιοποιώντας την εμπιστοσύνη που σχετίζεται με τους στοχευμένους ιστότοπους.

Αφαιρούμενα μέσα και μολυσμένο λογισμικό: Το Ransomware μπορεί να εξαπλωθεί μέσω μολυσμένων λήψεων λογισμικού ή κακόβουλων αρχείων σε αφαιρούμενα μέσα, όπως μονάδες USB. Οι χρήστες ενδέχεται να εισάγουν εν αγνοία τους ransomware στα συστήματά τους κατεβάζοντας λογισμικό που έχει παραβιαστεί ή εισάγοντας μολυσμένες εξωτερικές συσκευές.