Meduza (MedusaLocker) Ransomware

A Meduzát, amely a MedusaLocker családból származó zsarolóprogramok egyik típusa, a rosszindulatú programok mintáinak elemzése során azonosítottuk. Elsődleges funkciója a fájlok titkosítása, és egy adott kiterjesztést (például ".meduza24") fűz a fájlnevekhez, miközben váltságdíjat generál "How_to_back_files.html" néven.

Szemléltetésképpen, amikor a Meduza titkosítja a fájlokat, a következőképpen nevezi át őket: "1.jpg" lesz "1.jpg.meduza24", a "2.png" "2.png.meduza24"-re változik, és így tovább.

A váltságdíj értesíti az áldozatot, hogy a kulcsfontosságú fájljaikat RSA és AES titkosítási módszerekkel titkosították. Határozottan nem javasolja, hogy ezeket a fájlokat harmadik féltől származó szoftverekkel állítsák helyre, mivel ez végleges károsodáshoz vezethet. A titkosított fájlok módosítása vagy átnevezése szintén nem javasolt.

A váltságdíj feljegyzése szerint egyetlen online elérhető szoftver sem segíthet a visszafejtésben, és az egyetlen megoldás a támadók kezében van. Azt állítják, hogy szigorúan bizalmas és személyes adatokat gyűjtöttek, amelyeket egy privát szerveren tároltak, amelyeket a fizetés megérkezésekor törölnek. A fizetés elmulasztása az adatok nyilvánosságra kerülését vagy értékesítését eredményezné.

A feljegyzés hangsúlyozza, hogy a támadókat kizárólag anyagi haszon motiválja, és nem áll szándékukban károsítani a címzett jó hírnevét vagy üzleti tevékenységét. A fájlok visszafejtési képességének bizonyítására felajánlják 2-3 kevésbé fontos fájl ingyenes visszafejtését kérésre.

A váltságdíj tárgyalásához és a visszafejtő szoftver beszerzéséhez szükséges elérhetőségi információkat két e-mail címen (ithelp01@securitymy.name és ithelp01@yousheltered.com) adják meg. A megjegyzés azt is javasolja, hogy hozzon létre egy új, ingyenes e-mail fiókot a protonmail.com oldalon a kapcsolatfelvételhez.

A 72 órás határidő letelte után a váltságdíj összege nő, ha az áldozat nem veszi fel a kapcsolatot a támadókkal. Ezenkívül a folyamatos kommunikációhoz hivatkozás található a Tor-chatre.

Meduza Ransom Note teljes terjedelmében

A Meduza váltságdíj teljes szövege így hangzik:

AZ ÖN SZEMÉLYI IDŐ:

AZ ÖN VÁLLALATI HÁLÓZATÁBA BETÖRÖLT
Minden fontos fájlod titkosítva lett!

Fájlai biztonságban vannak! Csak módosítva. (RSA+AES)

BÁRMILYEN KÍSÉRLET, HOGY HARMADIK FÉL SZOFTVERÉVEL VISSZAÁLLÍTSA FÁJLOIT
VÉGLEGESEN MEGKORRUMPÁLJA.
NE MÓDOSÍTSA TITKOSÍTOTT FÁJLOKAT.
NE NEVEZZ ÁT TITKOSÍTOTT FÁJLOKAT.

Az interneten elérhető szoftverek nem segíthetnek. Csak mi vagyunk képesek rá
oldja meg a problémáját.

Erősen bizalmas/személyes adatokat gyűjtöttünk. Ezek az adatok jelenleg a következő helyen vannak tárolva
egy privát szerver. Ez a szerver azonnal megsemmisül a fizetés után.
Ha úgy dönt, hogy nem fizet, akkor adatait nyilvánosságra hozzuk vagy viszonteladónak adjuk ki.
Így arra számíthat, hogy adatai a közeljövőben nyilvánosan elérhetőek lesznek.

Csak pénzt keresünk, és nem az a célunk, hogy rontsuk az Ön hírnevét vagy megakadályozzuk
vállalkozása működéséből.

2-3 nem fontos fájlt küldhet nekünk, és mi ingyenesen visszafejtjük
annak bizonyítására, hogy vissza tudjuk adni a fájljait.

Lépjen kapcsolatba velünk az árért és szerezzen visszakódoló szoftvert.

email:
ithelp01@securitymy.name
ithelp01@yousheltered.com
Ha kapcsolatba szeretne lépni velünk, hozzon létre egy új ingyenes e-mail fiókot a protonmail.com webhelyen
HA 72 ÓRÁN BELÜL NEM KERÜLI VELÜNK KAPCSOLATOT, AZ ÁR MAGASABB LESZ.

Tor-chat, hogy mindig kapcsolatban legyen:

Hogyan fertőzheti meg a Ransomware a számítógépét?

A zsarolóprogramok különféle módszerekkel megfertőzhetik a számítógépet, és gyakran szociális tervezési taktikára támaszkodnak, hogy rávegyék a felhasználókat a fertőzés elindítására. Íme néhány gyakori mód, amellyel a zsarolóprogramok megfertőzhetik számítógépét:

• Rosszindulatú e-mail mellékletek: Az egyik leggyakoribb módszer az adathalász e-mailek. A támadók jogosnak tűnő e-maileket küldenek, amelyek mellékleteket, például PDF-eket vagy Office-dokumentumokat tartalmazhatnak, beágyazott rosszindulatú kóddal. Amikor megnyitja a mellékletet, a zsarolóprogram végrehajtásra kerül.
• Rosszindulatú linkek: Az adathalász e-mailek rosszindulatú webhelyekre mutató hivatkozásokat is tartalmazhatnak. Ha ezekre a linkekre kattint, az automatikus letöltésekhez vezethet, ahol a ransomware automatikusan letöltődik és az Ön tudta nélkül végrehajtódik.
• Hamis szoftverfrissítések: A támadók hamis szoftverfrissítési értesítéseket vagy előugró ablakokat hozhatnak létre, amelyek az operációs rendszer vagy szoftver jogos frissítéseit utánozzák. Ha letölti és telepíti ezeket a hamis frissítéseket, előfordulhat, hogy tudtán kívül ransomware-t telepít.
• Fertőzött szoftver: Néha a támadók feltörik a legális szoftvertelepítőket, és zsarolóprogramokat juttatnak beléjük. Amikor letölt és telepít egy biztonságosnak tűnő programot, akkor véletlenül ransomware-t telepít.
• Rosszindulatú reklámozás: A rosszindulatú reklámozás során a kiberbűnözők fertőzött hirdetéseket helyeznek el legitim webhelyeken. Ezekre a hirdetésekre kattintva átirányíthatja Önt olyan webhelyekre, amelyek ransomware-t terjesztenek.
• Távoli asztali protokoll (RDP) támadások: Ha az RDP nem megfelelően védett, a támadók a biztonsági réseket kihasználva távoli hozzáférést kaphatnak a számítógéphez. Bejutva telepíthetik a zsarolóprogramokat.
• A sebezhetőségek kihasználása: A Ransomware kihasználhatja az operációs rendszer vagy az alkalmazások szoftveres sebezhetőségeit. Ha a szoftvert naprakészen tartja a legújabb biztonsági javításokkal, az segít megvédeni ezt a módszert.
• Social Engineering: A támadók megszemélyesíthetik megbízható entitásokat, például műszaki támogatást vagy kollégákat, hogy rávegyék Önt zsarolóprogramot tartalmazó fájlok letöltésére és végrehajtására.