Genesis Ransomware es un clon de MedusaLocker

Nuestro equipo ha identificado el ransomware Genesis, que pertenece a la familia de ransomware MedusaLocker. Este tipo de software malicioso cifra archivos y exige un pago por descifrarlos.

Durante nuestras pruebas, el ransomware Genesis (MedusaLocker) cifró archivos en nuestra máquina de prueba y agregó una extensión ".genesis15" a sus nombres de archivo (tenga en cuenta que el número puede variar según la variante del programa). Por ejemplo, un archivo originalmente llamado "1.jpg" se transformó en "1.jpg.genesis15" y "2.png" se convirtió en "2.png.genesis15".

Al completar el proceso de cifrado, el ransomware depositó una nota de rescate llamada "HOW_TO_BACK_FILES.html". El mensaje en el archivo HTML indica que el malware Genesis (MedusaLocker) se dirige específicamente a empresas y no a usuarios individuales. Según la nota, la red de la empresa de la víctima se vio comprometida y los archivos cifrados, protegidos mediante algoritmos criptográficos RSA y AES, también tenían datos altamente confidenciales extraídos de la red.

Se advierte a la víctima que alterar los nombres de los archivos afectados, realizar modificaciones o utilizar software de recuperación de terceros podría provocar una pérdida permanente de datos. Para iniciar el proceso de descifrado, la víctima debe pagar un rescate. Aunque la cantidad exacta no se especifica en la nota, se menciona que contactar a los atacantes después de 72 horas resultará en un mayor rescate.

Antes de realizar cualquier pago, la víctima tiene la opción de probar el descifrado en tres archivos. El incumplimiento de las demandas del ciberdelincuente puede dar lugar a la venta o filtración de los datos robados.

Copias de la nota de rescate de Génesis MedusaLocker

El texto completo de la nota de rescate de Génesis dice lo siguiente:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

¿Cómo se distribuye comúnmente el ransomware en línea?

El ransomware se distribuye comúnmente en línea a través de varios métodos, explotando vulnerabilidades y usuarios desprevenidos. Algunos métodos de distribución comunes incluyen:

Correos electrónicos de phishing: los ciberdelincuentes suelen utilizar correos electrónicos de phishing para enviar ransomware. Estos correos electrónicos pueden contener archivos adjuntos o enlaces maliciosos que, al hacer clic en ellos, descargan y ejecutan el ransomware en el sistema de la víctima. Los correos electrónicos están diseñados para engañar a los usuarios para que abran el archivo adjunto o hagan clic en el enlace, a menudo haciéndose pasar por entidades legítimas o mensajes urgentes.

Sitios web maliciosos: visitar sitios web comprometidos o maliciosos puede exponer a los usuarios a descargas no autorizadas. En este escenario, el malware, incluido el ransomware, se descarga y ejecuta automáticamente en el sistema del usuario sin su conocimiento ni consentimiento. Este método suele asociarse con sitios web que alojan contenido malicioso o explotan vulnerabilidades de software.

Publicidad maliciosa: la publicidad maliciosa, o publicidad maliciosa, implica colocar código malicioso en anuncios en línea. Cuando los usuarios hacen clic en estos anuncios, pueden descargar e instalar ransomware en sus dispositivos sin saberlo. La publicidad maliciosa puede ocurrir en sitios web legítimos a través de redes publicitarias comprometidas.

Descargas no autorizadas: los ciberdelincuentes pueden aprovechar vulnerabilidades en el software, los navegadores o los sistemas operativos para iniciar descargas no autorizadas. Este método permite que el ransomware se descargue y ejecute automáticamente cuando un usuario visita un sitio web comprometido o malicioso sin que se requiera ninguna interacción.

Ataques de abrevadero: en los ataques de abrevadero, los piratas informáticos se dirigen a sitios web frecuentados por un grupo o industria específica. Al comprometer estos sitios web con ransomware, los atacantes pueden infectar los sistemas de personas u organizaciones que visitan esos sitios, aprovechando la confianza asociada con los sitios objetivo.

Medios extraíbles y software infectado: el ransomware puede propagarse a través de descargas de software infectado o archivos maliciosos en medios extraíbles, como unidades USB. Los usuarios pueden, sin saberlo, introducir ransomware en sus sistemas descargando software comprometido o insertando dispositivos externos infectados.