Το OlSaveLock Ransomware είναι μια νέα παραλλαγή MedusaLocker

Κατά τη διάρκεια μιας τακτικής ανάλυσης νέων κακόβουλων αρχείων, η ομάδα ερευνητών μας ανακάλυψε το OlSaveLock ransomware. Αυτό το κακόβουλο λογισμικό λειτουργεί κρυπτογραφώντας δεδομένα και απαιτώντας λύτρα με αντάλλαγμα την αποκρυπτογράφηση. Συγκεκριμένα, το OlSaveLock είναι μέλος της διαβόητης οικογένειας ransomware MedusaLocker.

Στο περιβάλλον δοκιμών μας, το OlSaveLock κρυπτογραφούσε αποτελεσματικά τα αρχεία και πρόσθεσε μια ξεχωριστή επέκταση ".olsavelock31" στα αρχικά ονόματα αρχείων τους. Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" θα εμφανιζόταν ως "1.jpg.olsavelock31", ενώ το "2.png" θα γίνει "2.png.olsavelock31" και ούτω καθεξής. Είναι σημαντικό να σημειωθεί ότι ο συγκεκριμένος αριθμός εντός της επέκτασης μπορεί να διαφέρει ανάλογα με την παραλλαγή του ransomware. Επιπλέον, το OlSaveLock κατέθεσε ένα σημείωμα λύτρων με το όνομα "How_to_back_files.html" στην επιφάνεια εργασίας.

Το περιεχόμενο του σημειώματος λύτρων δείχνει ξεκάθαρα ότι το OlSaveLock στοχεύει κυρίως μεγάλους οργανισμούς και όχι μεμονωμένους οικιακούς χρήστες. Σύμφωνα με το μήνυμα, το εταιρικό δίκτυο του θύματος έχει παραβιαστεί. Η έκταση της ζημιάς περιγράφεται ως η κρυπτογράφηση κρίσιμων αρχείων που χρησιμοποιούν κρυπτογραφικούς αλγόριθμους RSA και AES, μαζί με την μη εξουσιοδοτημένη εξαγωγή ευαίσθητων και προσωπικών δεδομένων.

Το σημείωμα αναφέρει ότι η πληρωμή των λύτρων είναι απαραίτητη για την αποκρυπτογράφηση των επηρεαζόμενων αρχείων και την αποτροπή της έκθεσης ή της πώλησης των κλεμμένων πληροφοριών. Πριν πραγματοποιήσει την πληρωμή, προσφέρεται στο θύμα η ευκαιρία να δοκιμάσει τη διαδικασία αποκρυπτογράφησης σε τρία αρχεία που δεν περιέχουν πολύτιμα δεδομένα.

Αν και το συγκεκριμένο ποσό των λύτρων δεν προσδιορίζεται στο σημείωμα, υπονοείται ότι το ποσό θα αυξηθεί εάν το θύμα δεν καταφέρει να έρθει σε επαφή με τους επιτιθέμενους εντός 72 ωρών. Επιπλέον, το θύμα προειδοποιείται ρητά ότι τυχόν προσπάθειες μετονομασίας ή τροποποίησης των κρυπτογραφημένων αρχείων, καθώς και η χρήση εργαλείων αποκρυπτογράφησης τρίτων, θα έχουν ως αποτέλεσμα μόνιμη απώλεια δεδομένων.

Το OlSaveLock Ransom Note απειλεί με πεζοπορία με λύτρα σε 72 ώρες

Το πλήρες κείμενο του σημειώματος λύτρων OlSaveLock έχει ως εξής:

Η ΠΡΟΣΩΠΙΚΗ ΣΑΣ ΤΑΥΤΟΤΗΤΑ:

ΤΟ ΕΤΑΙΡΙΚΟ ΔΙΚΤΥΟ ΣΑΣ ΕΧΕΙ ΔΙΕΙΣΧΥΘΕΙ
Όλα τα σημαντικά αρχεία σας έχουν κρυπτογραφηθεί!

Τα αρχεία σας είναι ασφαλή! Μόνο τροποποιημένο. (RSA+AES)

ΟΠΟΙΑΔΗΠΟΤΕ ΠΡΟΣΠΑΘΕΙΑ ΑΠΟΚΑΤΑΣΤΑΣΗΣ ΤΩΝ ΑΡΧΕΙΩΝ ΣΑΣ ΜΕ ΛΟΓΙΣΜΙΚΟ ΤΡΙΤΩΝ
ΘΑ ΤΟ ΔΙΑΦΘΩΣΕΙ ΜΟΝΙΜΩΣ.
ΜΗΝ ΤΡΟΠΟΠΟΙΕΙΤΕ ΚΡΥπτογραφημένα ΑΡΧΕΙΑ.
ΜΗ ΜΕΤΟΝΟΜΑΣΙΑ ΚΡΥΠΤΟΓΡΑΦΗΜΕΝΩΝ ΑΡΧΕΙΩΝ.

Κανένα λογισμικό που διατίθεται στο διαδίκτυο δεν μπορεί να σας βοηθήσει. Είμαστε οι μόνοι που μπορούμε
λύσε το πρόβλημά σου.

Συγκεντρώσαμε άκρως εμπιστευτικά/προσωπικά δεδομένα. Αυτά τα δεδομένα αποθηκεύονται αυτήν τη στιγμή στο
έναν ιδιωτικό διακομιστή. Αυτός ο διακομιστής θα καταστραφεί αμέσως μετά την πληρωμή σας.
Εάν αποφασίσετε να μην πληρώσετε, θα δημοσιοποιήσουμε τα δεδομένα σας ή θα μεταπωλήσουμε.
Έτσι, μπορείτε να περιμένετε τα δεδομένα σας να είναι δημόσια διαθέσιμα στο εγγύς μέλλον..

Επιδιώκουμε μόνο χρήματα και στόχος μας δεν είναι να βλάψουμε τη φήμη σας ή να αποτρέψουμε
η επιχείρησή σας από τη λειτουργία.

Μπορείτε να μας στείλετε 2-3 μη σημαντικά αρχεία και θα τα αποκρυπτογραφήσουμε δωρεάν
για να αποδείξουμε ότι είμαστε σε θέση να δώσουμε πίσω τα αρχεία σας.

Επικοινωνήστε μαζί μας για τιμή και λάβετε λογισμικό αποκρυπτογράφησης.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ:
ithelp10@securitymy.name
ithelp10@yousheltered.com

• Για να επικοινωνήσετε μαζί μας, δημιουργήστε έναν νέο δωρεάν λογαριασμό email στον ιστότοπο: protonmail.com
  ΕΑΝ ΔΕΝ ΕΠΙΚΟΙΝΩΝΗΣΕΤΕ ΜΑΖΙ ΜΑΣ ΕΝΤΟΣ 72 ΩΡΩΝ, Η ΤΙΜΗ ΘΑ ΕΙΝΑΙ ΥΨΗΛΗ.

Πώς παραδίδεται συνήθως το Ransomware όπως το OlSaveLock στο σύστημα θυμάτων;

Η παράδοση ransomware όπως το OlSaveLock σε συστήματα θυμάτων συνήθως περιλαμβάνει διάφορες μεθόδους και τεχνικές. Ακολουθούν μερικοί συνήθεις τρόποι με τους οποίους παραδίδεται συνήθως ransomware:

• Email ηλεκτρονικού ψαρέματος: Τα μηνύματα ηλεκτρονικού ψαρέματος παραμένουν μια δημοφιλής μέθοδος για την παράδοση ransomware. Οι εισβολείς στέλνουν φαινομενικά νόμιμα email με κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συχνά υποδύονται αξιόπιστους οργανισμούς, εξαπατώντας τους παραλήπτες να ανοίξουν συνημμένα ή κάνοντας κλικ σε συνδέσμους που κατεβάζουν το ransomware στα συστήματά τους.
• Κακόβουλες Λήψεις: Το Ransomware μπορεί επίσης να παραδοθεί μέσω κακόβουλων λήψεων από παραβιασμένους ιστότοπους ή παραπλανητικών διαφημίσεων (malvertising). Η επίσκεψη σε παραβιασμένους ιστότοπους ή το κλικ σε κακόβουλες διαφημίσεις μπορεί να ενεργοποιήσει την αυτόματη λήψη και εκτέλεση του ωφέλιμου φορτίου ransomware.
• Κιτ εκμετάλλευσης: Τα κιτ εκμετάλλευσης είναι κιτ εργαλείων που εκμεταλλεύονται ευπάθειες σε λογισμικό ή λειτουργικά συστήματα. Εκμεταλλευόμενοι τις αδυναμίες ασφαλείας, μπορούν να παραδώσουν και να εγκαταστήσουν αθόρυβα ransomware σε ευάλωτα συστήματα χωρίς αλληλεπίδραση με τον χρήστη. Αυτά τα τρωτά σημεία μπορούν να βρεθούν σε απαρχαιωμένο λογισμικό ή μη επιδιορθωμένα συστήματα.
• Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς ενδέχεται να στοχεύουν συστήματα που έχουν ενεργοποιημένο το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP), αλλά έχουν αδύναμα ή εύκολα εικαστικά διαπιστευτήρια σύνδεσης. Προσπαθούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα και στη συνέχεια να αναπτύξουν το ransomware.
• Κακόβουλοι σύνδεσμοι και ιστότοποι: Το Ransomware μπορεί να διανεμηθεί μέσω κακόβουλων συνδέσμων που κοινοποιούνται μέσω κοινωνικών μέσων, πλατφορμών άμεσων μηνυμάτων ή παραβιασμένων ιστότοπων. Κάνοντας κλικ σε αυτούς τους συνδέσμους ή επισκέπτοντας μολυσμένους ιστότοπους μπορεί να ενεργοποιηθεί η λήψη και η εκτέλεση του ransomware.
• Λήψεις Drive-by: Οι λήψεις Drive-by πραγματοποιούνται όταν γίνεται αυτόματη λήψη και εγκατάσταση ransomware χωρίς τη γνώση ή την αλληλεπίδραση του χρήστη κατά την επίσκεψη σε έναν παραβιασμένο ή κακόβουλο ιστότοπο. Εκμεταλλευόμενος ευπάθειες σε προγράμματα περιήγησης ή προσθήκες, το ransomware παραδίδεται κρυφά.

Είναι σημαντικό να σημειωθεί ότι αυτές οι μέθοδοι παράδοσης μπορούν να εξελιχθούν και νέες τεχνικές μπορούν να εμφανιστούν με την πάροδο του χρόνου. Για την προστασία από επιθέσεις ransomware, είναι σημαντικό να διατηρείτε ενημερωμένο λογισμικό ασφαλείας, να εφαρμόζετε τακτικά ενημερώσεις κώδικα και ενημερώσεις, να είστε προσεκτικοί όταν ανοίγετε συνημμένα email ή κάνοντας κλικ σε συνδέσμους και να εφαρμόζετε ισχυρούς ελέγχους πρόσβασης και μέτρα ασφαλείας σε συστήματα και δίκτυα. Τα τακτικά αντίγραφα ασφαλείας δεδομένων και η εκπαίδευση των χρηστών σχετικά με την αναγνώριση και την αποφυγή πιθανών απειλών διαδραματίζουν επίσης κρίσιμο ρόλο στον μετριασμό των επιπτώσεων των επιθέσεων ransomware.