El ransomware Lucky (MedusaLocker) ataca la integridad de tus datos
Table of Contents
La aparición del ransomware Lucky (MedusaLocker)
El ransomware Lucky (MedusaLocker) es una variante de la familia de ransomware MedusaLocker ; sigue un patrón bien establecido: cifrar archivos y exigir un pago a cambio de su recuperación.
Una vez ejecutado en un sistema, el ransomware Lucky añade la extensión ".lucky777" a los archivos cifrados. Por ejemplo, un archivo llamado "document.pdf" se convertiría en "document.pdf.lucky777". Después del cifrado, el ransomware modifica el fondo de pantalla del escritorio y genera una nota de rescate en un archivo HTML titulado "READ_NOTE.html".
Entendiendo la demanda de rescate
El mensaje de rescate advierte a las víctimas, en particular a las empresas, que sus archivos han sido bloqueados mediante algoritmos de cifrado RSA y AES. Desaconseja explícitamente cambiar el nombre o modificar los archivos cifrados y desaconseja el uso de herramientas de descifrado de terceros, alegando que tales acciones podrían provocar una pérdida permanente de datos.
En la nota se afirma además que se han robado datos confidenciales de la empresa, incluidos datos de clientes. Para recuperar el acceso, las víctimas reciben instrucciones de pagar un rescate. Para demostrar que es posible descifrar los datos, los atacantes ofrecen descifrar dos o tres archivos de forma gratuita. Sin embargo, imponen un plazo de 72 horas, después del cual aumenta el monto del rescate. Si se ignora la exigencia, los perpetradores amenazan con filtrar o vender los datos robados.
Esto es lo que dice la nota de rescate:
YOUR PERSONAL ID:
-
Hello dear management,
All your important files have been encrypted!
Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to
solve your problem.From your file storage, we have downloaded a large amount of confidential data of your company and personal data of your clients.
Data leakage will entail great reputational risks for you, we would not like that.
In case you do not contact us, we will initiate an auction for the sale of personal and confidential data.
After the auction is over, we will place the data in public access on our blog.
The link is left at the bottom of the note.
This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..
We only seek money and our goal is not to damage your reputation or prevent
your business from running.
You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.
Contact us for price and get decryption software.
email:
paul_letterman@zohomailcloud.ca
thomas_went@gmx.com
* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
* Tor-chat to always be in touch:
La realidad detrás del cifrado de ransomware
Los programas de rescate como Lucky (MedusaLocker) están diseñados para hacer que la recuperación de archivos sin la intervención de los atacantes sea casi imposible. Solo en casos excepcionales en los que existen fallas de cifrado se pueden descifrar archivos sin pagar un rescate.
Sin embargo, incluso si una víctima decide cumplir con la exigencia de rescate, no hay certeza de que los atacantes le proporcionen una herramienta de descifrado. Los cibercriminales son conocidos por ignorar a las víctimas después del pago, lo que hace que el pago del rescate sea una solución riesgosa y poco confiable. Además, cumplir con sus demandas solo alimenta más ataques.
Prevención de la pérdida de datos y las infecciones por ransomware
Eliminar el ransomware Lucky de un sistema infectado es fundamental para evitar cifrados adicionales. Sin embargo, eliminar el ransomware no restaura los archivos bloqueados. La mejor medida es confiar en las copias de seguridad de los datos, si existen y se almacenan de forma segura en un dispositivo externo o en un servicio en la nube.
Para mitigar los riesgos que plantea el ransomware, las organizaciones y las personas deben mantener varias copias de seguridad en diferentes ubicaciones. Esto incluye dispositivos de almacenamiento fuera de línea y servicios en la nube que no están conectados directamente al sistema principal, lo que evita que el ransomware los dañe también.
Cómo se propaga el ransomware
El ransomware Lucky (MedusaLocker), al igual que otras amenazas de su tipo, se basa en varios métodos de distribución para llegar a las víctimas. Los correos electrónicos de phishing y las tácticas engañosas de ingeniería social siguen siendo los principales medios de infección.
Los actores de amenazas suelen camuflar el ransomware como software legítimo, incluyéndolo en formatos de archivo comunes, como archivos ejecutables (.exe), documentos (.docx, .pdf) y archivos comprimidos (.zip, .rar). Estos archivos maliciosos se propagan a través de correos electrónicos no deseados, sitios web comprometidos, actualizaciones de software falsas y herramientas de activación de software ilegales.
Mantenerse alerta ante los ataques de ransomware
Para reducir la probabilidad de infección, los usuarios deben tener cuidado al navegar por la web y manipular correos electrónicos. Nunca deben abrirse archivos adjuntos sospechosos ni enlaces incrustados a menos que se verifique su autenticidad.
Además, descargar software solo de fuentes confiables y evitar modificaciones de software no autorizadas reduce significativamente la exposición al ransomware. Mantener el software y los sistemas operativos actualizados a través de canales oficiales ayuda a cerrar las brechas de seguridad que explota el ransomware.
Reflexiones finales
El ransomware Lucky (MedusaLocker) ejemplifica los peligros que plantean las amenazas modernas basadas en cifrado. Al secuestrar el acceso a archivos críticos y amenazar con exponer los datos, las personas y las organizaciones corren riesgos financieros y operativos. Sin embargo, el impacto de estas amenazas se puede mitigar mediante copias de seguridad de los datos, hábitos de navegación seguros y una mayor vigilancia. En lugar de sucumbir a las demandas de rescate, los usuarios deberían centrarse en medidas de ciberseguridad proactivas para proteger sus datos de futuros ataques.
