Το Repair Ransomware βασίζεται στο MedusaLocker

Κατά την εξέταση δειγμάτων αρχείων που ανακαλύφθηκαν πρόσφατα, συναντήσαμε ένα κακόβουλο λογισμικό με το όνομα Repair, το οποίο ανήκει στην οικογένεια ransomware MedusaLocker. Το Repair λειτουργεί ως ransomware που κρυπτογραφεί δεδομένα.

Κατά την ανάλυσή μας, παρατηρήσαμε ότι το πρόγραμμα κρυπτογραφούσε αρχεία και πρόσθεσε μια επέκταση ".repair" στα ονόματα των αρχείων τους. Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.jpg" εμφανίστηκε ως "1.jpg.repair", "2.png" ως "2.png.repair" και ούτω καθεξής.

Μόλις ολοκληρώθηκε η διαδικασία κρυπτογράφησης, το ransomware δημιούργησε ένα αρχείο HTML με τίτλο "How_to_back_files.html", που περιέχει τη σημείωση λύτρων. Εκτός από την απαίτηση πληρωμής για αποκρυπτογράφηση, αυτό το ransomware χρησιμοποιεί τακτικές διπλού εκβιασμού απειλώντας τα θύματα με διαρροές δεδομένων.

Το σημείωμα λύτρων δείχνει ξεκάθαρα ότι το Repair στοχεύει κυρίως εταιρείες και όχι μεμονωμένους χρήστες. Ενημερώνει ότι τα αρχεία στο δίκτυο της εταιρείας έχουν κρυπτογραφηθεί, και έχουν εξαχθεί εμπιστευτικά ή προσωπικά δεδομένα.

Η σημείωση τονίζει ότι μόνο οι εισβολείς έχουν τη δυνατότητα να επαναφέρουν τα κρυπτογραφημένα αρχεία. Οποιεσδήποτε προσπάθειες μετονομασίας, τροποποίησης ή μη αυτόματης αποκρυπτογράφησης των αρχείων θα έχουν ως αποτέλεσμα μη αναστρέψιμη καταστροφή των δεδομένων.

Για την αποκρυπτογράφηση των αρχείων, το θύμα καλείται να πληρώσει λύτρα, με μια προειδοποίηση ότι η άρνηση συμμόρφωσης θα οδηγήσει σε διαρροή ή πώληση περιεχομένου. Η αποτυχία επαφής με τους κυβερνοεγκληματίες εντός 72 ωρών θα οδηγήσει σε αύξηση του ποσού των λύτρων. Προτού ικανοποιήσει αυτές τις απαιτήσεις, επιτρέπεται στο θύμα να δοκιμάσει την αποκρυπτογράφηση σε έως και τρία ασήμαντα αρχεία.

Repair Ransom Note Copies Template MedusaLocker

Το πλήρες κείμενο του σημειώματος λύτρων επισκευής έχει ως εξής:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Ποια είναι τα πιο κοινά διανύσματα διανομής για Ransomware;

Το Ransomware μπορεί να διεισδύσει σε συστήματα μέσω διαφόρων διανυσμάτων διανομής, αλλά μερικά από τα πιο κοινά περιλαμβάνουν:

Email ηλεκτρονικού ψαρέματος: Τα μηνύματα ηλεκτρονικού ψαρέματος είναι μια κύρια μέθοδος για τη διανομή ransomware. Οι εισβολείς στέλνουν παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν κακόβουλα συνημμένα ή συνδέσμους, συχνά παριστάνοντας ως νόμιμες οντότητες ή οργανισμούς. Κάνοντας κλικ σε αυτά τα συνημμένα ή τους συνδέσμους μπορεί να ενεργοποιηθεί η λήψη και η εκτέλεση του ransomware.

Κακόβουλοι ιστότοποι: Το Ransomware μπορεί να διανεμηθεί μέσω παραβιασμένων ή κακόβουλων ιστότοπων. Η επίσκεψη σε τέτοιους ιστότοπους ή το κλικ σε κακόβουλες διαφημίσεις μπορεί να οδηγήσει στην αυτόματη λήψη και εγκατάσταση ransomware στο σύστημα του θύματος.

Κιτ εκμετάλλευσης: Τα κιτ εκμετάλλευσης είναι κιτ εργαλείων που περιέχουν προ-γραμμένο κώδικα που έχει σχεδιαστεί για να εκμεταλλεύεται τρωτά σημεία σε λογισμικό ή προγράμματα περιήγησης ιστού. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν κιτ εκμετάλλευσης για να εντοπίζουν αυτόματα και να εκμεταλλεύονται τρωτά σημεία στα συστήματα, επιτρέποντάς τους να παραδίδουν ωφέλιμα φορτία ransomware χωρίς αλληλεπίδραση με τον χρήστη.

Ευπάθειες λογισμικού: Οι δημιουργοί ransomware συχνά εκμεταλλεύονται γνωστές ευπάθειες σε λειτουργικά συστήματα ή εφαρμογές λογισμικού για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα συστήματα. Η αποτυχία εγκατάστασης ενημερώσεων κώδικα ασφαλείας και ενημερώσεων αφήνει τα συστήματα επιρρεπή σε εκμετάλλευση από ransomware.

Λήψεις Drive-by: Οι λήψεις Drive-by πραγματοποιούνται όταν γίνεται λήψη και εγκατάσταση ransomware στο σύστημα ενός θύματος χωρίς τη γνώση ή τη συγκατάθεσή του. Αυτό συμβαίνει συχνά όταν επισκέπτεστε παραβιασμένους ιστότοπους ή κάνετε κλικ σε κακόβουλους συνδέσμους.

Τακτικές Κοινωνικής Μηχανικής: Οι διανομείς ransomware χρησιμοποιούν συχνά τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες να εκτελέσουν κακόβουλο κώδικα. Αυτό μπορεί να περιλαμβάνει την προσέλκυση χρηστών για λήψη και εκτέλεση κακόβουλου λογισμικού μέσω παραπλανητικών διαφημίσεων, πλαστών ενημερώσεων λογισμικού ή δόλιων προσφορών.

Για να μετριαστεί ο κίνδυνος μολύνσεων από ransomware, οι χρήστες και οι οργανισμοί θα πρέπει να εφαρμόζουν ισχυρά μέτρα κυβερνοασφάλειας, όπως τακτικές ενημερώσεις λογισμικού, εκπαίδευση εργαζομένων στον εντοπισμό email phishing και χρήση αξιόπιστου λογισμικού προστασίας από ιούς και τείχη προστασίας. Επιπλέον, η διατήρηση τακτικών αντιγράφων ασφαλείας κρίσιμων δεδομένων είναι απαραίτητη για την ανάκτηση σε περίπτωση επίθεσης ransomware.