Réparation Ransomware est basé sur MedusaLocker

En examinant des échantillons de fichiers récemment découverts, nous sommes tombés sur un logiciel malveillant nommé Repair, qui appartient à la famille des ransomwares MedusaLocker. Repair fonctionne comme un ransomware qui crypte les données.

Au cours de notre analyse, nous avons observé que le programme chiffrait les fichiers et ajoutait une extension « .repair » à leurs noms de fichiers. Par exemple, un fichier initialement nommé « 1.jpg » apparaissait sous la forme « 1.jpg.repair », « 2.png » sous la forme « 2.png.repair », et ainsi de suite.

Une fois le processus de cryptage terminé, le ransomware a généré un fichier HTML intitulé « How_to_back_files.html », contenant la demande de rançon. En plus d'exiger un paiement pour le décryptage, ce ransomware utilise des tactiques de double extorsion en menaçant les victimes de fuites de données.

La demande de rançon indique clairement que Repair cible principalement les entreprises plutôt que les utilisateurs individuels. Il informe que les fichiers du réseau de l'entreprise ont été cryptés et que des données confidentielles ou personnelles ont été extraites.

La note souligne que seuls les attaquants possèdent la capacité de restaurer les fichiers cryptés. Toute tentative de renommer, modifier ou décrypter manuellement les fichiers entraînera une corruption irréversible des données.

Pour décrypter les fichiers, la victime doit payer une rançon, avec un avertissement indiquant que le refus de s'y conformer entraînera la fuite ou la vente du contenu. Le fait de ne pas établir de contact avec les cybercriminels dans les 72 heures entraînera une augmentation du montant de la rançon. Avant de répondre à ces demandes, la victime est autorisée à tester le décryptage de trois fichiers sans importance au maximum.

Réparer les copies de note de rançon Modèle MedusaLocker

Le texte complet de la demande de rançon de réparation se lit comme suit :

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Quels sont les vecteurs de distribution les plus courants des ransomwares ?

Les ransomwares peuvent infiltrer les systèmes via divers vecteurs de distribution, mais parmi les plus courants figurent :

E-mails de phishing : les e-mails de phishing constituent une méthode principale de distribution de ransomwares. Les attaquants envoient des e-mails trompeurs contenant des pièces jointes ou des liens malveillants, se faisant souvent passer pour des entités ou des organisations légitimes. Cliquer sur ces pièces jointes ou ces liens peut déclencher le téléchargement et l'exécution d'un ransomware.

Sites Web malveillants : les ransomwares peuvent être distribués via des sites Web compromis ou malveillants. Visiter de tels sites Web ou cliquer sur des publicités malveillantes peut conduire au téléchargement et à l'installation automatiques de ransomwares sur le système de la victime.

Kits d'exploit : les kits d'exploit sont des kits d'outils contenant du code pré-écrit conçu pour exploiter les vulnérabilités des logiciels ou des navigateurs Web. Les cybercriminels utilisent des kits d'exploitation pour identifier et exploiter automatiquement les vulnérabilités des systèmes, leur permettant ainsi de diffuser des charges utiles de ransomware sans interaction de l'utilisateur.

Vulnérabilités logicielles : les créateurs de ransomwares exploitent souvent des vulnérabilités connues dans les systèmes d'exploitation ou les applications logicielles pour obtenir un accès non autorisé aux systèmes. Le fait de ne pas installer de correctifs de sécurité et de mises à jour rend les systèmes vulnérables à l’exploitation par des ransomwares.

Téléchargements drive-by : les téléchargements drive-by se produisent lorsqu'un ransomware est téléchargé et installé sur le système d'une victime à son insu ou sans son consentement. Cela se produit souvent lorsque vous visitez des sites Web compromis ou que vous cliquez sur des liens malveillants.

Tactiques d'ingénierie sociale : les distributeurs de ransomwares utilisent souvent des tactiques d'ingénierie sociale pour inciter les utilisateurs à exécuter du code malveillant. Cela peut inclure d’inciter les utilisateurs à télécharger et à exécuter des logiciels malveillants via des publicités trompeuses, de fausses mises à jour de logiciels ou des offres frauduleuses.

Pour atténuer le risque d'infection par ransomware, les utilisateurs et les organisations doivent mettre en œuvre des mesures de cybersécurité robustes, telles que des mises à jour régulières des logiciels, une formation des employés sur l'identification des e-mails de phishing et l'utilisation de logiciels antivirus et de pare-feu réputés. De plus, la maintenance de sauvegardes régulières des données critiques est essentielle pour la récupération en cas d'attaque de ransomware.