El ransomware de reparación se basa en MedusaLocker

Mientras revisábamos muestras de archivos recién descubiertos, nos encontramos con un software malicioso llamado Repair, que pertenece a la familia de ransomware MedusaLocker. La reparación funciona como ransomware que cifra datos.

Durante nuestro análisis, observamos que el programa cifraba archivos y agregaba una extensión ".repair" a sus nombres de archivo. Por ejemplo, un archivo originalmente llamado "1.jpg" aparecía como "1.jpg.repair", "2.png" como "2.png.repair", etc.

Una vez que se completó el proceso de cifrado, el ransomware generó un archivo HTML titulado "How_to_back_files.html", que contenía la nota de rescate. Además de exigir un pago por el descifrado, este ransomware emplea tácticas de doble extorsión al amenazar a las víctimas con fugas de datos.

La nota de rescate indica claramente que Repair se dirige principalmente a empresas y no a usuarios individuales. Informa que se han cifrado los archivos de la red de la empresa y se han extraído datos confidenciales o personales.

La nota enfatiza que sólo los atacantes poseen la capacidad de restaurar los archivos cifrados. Cualquier intento de cambiar el nombre, modificar o descifrar manualmente los archivos resultará en una corrupción irreversible de los datos.

Para descifrar los archivos, la víctima debe pagar un rescate, con una advertencia de que si se niega a cumplirlo, se filtrará o venderá el contenido. Si no se establece contacto con los ciberdelincuentes dentro de las 72 horas, se incrementará el monto del rescate. Antes de cumplir con estas demandas, la víctima puede probar el descifrado de hasta tres archivos sin importancia.

Reparar copias de notas de rescate Plantilla MedusaLocker

El texto completo de la nota de rescate de reparación dice lo siguiente:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

¿Cuáles son los vectores de distribución más comunes del ransomware?

El ransomware puede infiltrarse en los sistemas a través de varios vectores de distribución, pero algunos de los más comunes incluyen:

Correos electrónicos de phishing: los correos electrónicos de phishing son un método principal para la distribución de ransomware. Los atacantes envían correos electrónicos engañosos que contienen archivos adjuntos o enlaces maliciosos, a menudo haciéndose pasar por entidades u organizaciones legítimas. Al hacer clic en estos archivos adjuntos o enlaces se puede activar la descarga y ejecución de ransomware.

Sitios web maliciosos: el ransomware se puede distribuir a través de sitios web comprometidos o maliciosos. Visitar dichos sitios web o hacer clic en anuncios maliciosos puede provocar la descarga e instalación automática de ransomware en el sistema de la víctima.

Kits de explotación: los kits de explotación son kits de herramientas que contienen código preescrito diseñado para explotar vulnerabilidades en software o navegadores web. Los ciberdelincuentes utilizan kits de explotación para identificar y explotar automáticamente vulnerabilidades en los sistemas, lo que les permite entregar cargas útiles de ransomware sin interacción del usuario.

Vulnerabilidades de software: los creadores de ransomware a menudo aprovechan vulnerabilidades conocidas en los sistemas operativos o aplicaciones de software para obtener acceso no autorizado a los sistemas. No instalar parches y actualizaciones de seguridad deja a los sistemas susceptibles a la explotación por ransomware.

Descargas no autorizadas: las descargas no autorizadas se producen cuando se descarga e instala ransomware en el sistema de una víctima sin su conocimiento o consentimiento. Esto sucede a menudo cuando se visitan sitios web comprometidos o se hace clic en enlaces maliciosos.

Tácticas de ingeniería social: los distribuidores de ransomware suelen utilizar tácticas de ingeniería social para engañar a los usuarios para que ejecuten código malicioso. Esto puede incluir incitar a los usuarios a descargar y ejecutar software malicioso mediante anuncios engañosos, actualizaciones de software falsas u ofertas fraudulentas.

Para mitigar el riesgo de infecciones de ransomware, los usuarios y las organizaciones deben implementar medidas sólidas de ciberseguridad, como actualizaciones periódicas de software, capacitación de los empleados para identificar correos electrónicos de phishing y el uso de software antivirus y firewalls confiables. Además, mantener copias de seguridad periódicas de los datos críticos es esencial para la recuperación en caso de un ataque de ransomware.