Genesis Ransomware est un clone de MedusaLocker

Notre équipe a identifié le ransomware Genesis, qui appartient à la famille des ransomwares MedusaLocker. Ce type de logiciel malveillant crypte les fichiers et exige un paiement pour leur décryptage.

Lors de nos tests, le ransomware Genesis (MedusaLocker) a crypté les fichiers sur notre machine de test et a ajouté une extension « .genesis15 » à leurs noms de fichiers (notez que le nombre peut varier en fonction de la variante du programme). Par exemple, un fichier initialement nommé « 1.jpg » a été transformé en « 1.jpg.genesis15 » et « 2.png » est devenu « 2.png.genesis15 ».

Une fois le processus de cryptage terminé, le ransomware a déposé une demande de rançon nommée « HOW_TO_BACK_FILES.html ». Le message contenu dans le fichier HTML indique que le malware Genesis (MedusaLocker) cible spécifiquement les entreprises plutôt que les utilisateurs individuels. Selon la note, le réseau de l'entreprise de la victime a été compromis et les fichiers cryptés, sécurisés à l'aide des algorithmes cryptographiques RSA et AES, contenaient également des données hautement sensibles extraites du réseau.

La victime est avertie que la modification des noms des fichiers concernés, la réalisation de modifications ou l'utilisation d'un logiciel de récupération tiers pourraient entraîner une perte permanente de données. Pour lancer le processus de décryptage, la victime doit payer une rançon. Bien que le montant exact ne soit pas précisé dans la note, il est mentionné que contacter les attaquants après 72 heures entraînera une augmentation de la rançon.

Avant d'effectuer tout paiement, la victime a la possibilité de tester le décryptage sur trois fichiers. Le non-respect des exigences du cybercriminel peut entraîner la vente ou la fuite des données volées.

Copies de la note de rançon Genesis MedusaLocker

Le texte intégral de la demande de rançon Genesis se lit comme suit :

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Comment les ransomwares sont-ils généralement distribués en ligne ?

Les ransomwares sont généralement distribués en ligne via diverses méthodes, exploitant les vulnérabilités et les utilisateurs sans méfiance. Certaines méthodes de distribution courantes incluent :

E-mails de phishing : les cybercriminels utilisent souvent des e-mails de phishing pour diffuser des ransomwares. Ces e-mails peuvent contenir des pièces jointes ou des liens malveillants qui, une fois cliqués, téléchargent et exécutent le ransomware sur le système de la victime. Les e-mails sont conçus pour inciter les utilisateurs à ouvrir la pièce jointe ou à cliquer sur le lien, souvent en se faisant passer pour des entités légitimes ou des messages urgents.

Sites Web malveillants : la visite de sites Web compromis ou malveillants peut exposer les utilisateurs à des téléchargements intempestifs. Dans ce scénario, les logiciels malveillants, y compris les ransomwares, sont automatiquement téléchargés et exécutés sur le système de l'utilisateur à son insu ou sans son consentement. Cette méthode est souvent associée à des sites Web hébergeant du contenu malveillant ou exploitant des vulnérabilités logicielles.

Publicité malveillante : la publicité malveillante, ou publicité malveillante, consiste à insérer un code malveillant dans des publicités en ligne. Lorsque les utilisateurs cliquent sur ces publicités, ils peuvent sans le savoir télécharger et installer des ransomwares sur leurs appareils. La publicité malveillante peut se produire sur des sites Web légitimes via des réseaux publicitaires compromis.

Téléchargements drive-by : les cybercriminels peuvent exploiter les vulnérabilités des logiciels, des navigateurs ou des systèmes d'exploitation pour lancer des téléchargements drive-by. Cette méthode permet au ransomware d'être automatiquement téléchargé et exécuté lorsqu'un utilisateur visite un site Web compromis ou malveillant sans aucune interaction requise.

Attaques de point d'eau : dans les attaques de point d'eau, les pirates informatiques ciblent les sites Web fréquentés par un groupe ou un secteur spécifique. En compromettant ces sites Web avec un ransomware, les attaquants peuvent infecter les systèmes des individus ou des organisations qui visitent ces sites, exploitant ainsi la confiance associée aux sites ciblés.

Supports amovibles et logiciels infectés : Les ransomwares peuvent se propager via des téléchargements de logiciels infectés ou des fichiers malveillants sur des supports amovibles tels que des clés USB. Les utilisateurs peuvent, sans le savoir, introduire des ransomwares dans leurs systèmes en téléchargeant des logiciels compromis ou en insérant des périphériques externes infectés.