A Ransomware javítása a MedusaLockeren alapul

Az újonnan felfedezett fájlminták áttekintése közben egy Repair nevű rosszindulatú szoftverre bukkantunk, amely a MedusaLocker ransomware családhoz tartozik. A javítás zsarolóprogramként működik, amely titkosítja az adatokat.

Elemzésünk során megfigyeltük, hogy a program titkosította a fájlokat, és ".repair" kiterjesztést adott a fájlnevükhöz. Például egy eredetileg "1.jpg" nevű fájl "1.jpg.repair", "2.png" "2.png.repair" néven jelent meg stb.

A titkosítási folyamat befejezése után a zsarolóprogram létrehozta a „How_to_back_files.html” nevű HTML-fájlt, amely a váltságdíjról szóló feljegyzést tartalmazza. Eltekintve attól, hogy fizetést követel a visszafejtésért, ez a zsarolóprogram kettős zsarolási taktikát alkalmaz, és adatszivárogtatással fenyegeti meg az áldozatokat.

A váltságdíj-jegyzet egyértelműen jelzi, hogy a Repair elsősorban vállalatokat céloz meg, nem pedig egyéni felhasználókat. Tájékoztat arról, hogy a vállalati hálózaton lévő fájlok titkosításra kerültek, és a bizalmas vagy személyes adatok kinyerésre kerültek.

A megjegyzés hangsúlyozza, hogy csak a támadók rendelkeznek a titkosított fájlok visszaállításának képességével. A fájlok átnevezésére, módosítására vagy kézi visszafejtésére tett kísérletek visszafordíthatatlan adatsérülést eredményeznek.

A fájlok visszafejtéséhez az áldozatnak váltságdíjat kell fizetnie, figyelmeztetve, hogy a megfelelés megtagadása a kiszivárgott vagy eladott tartalomhoz vezet. Ha 72 órán belül nem sikerül felvenni a kapcsolatot a kiberbûnözõkkel, az a váltságdíj összegének növekedéséhez vezet. Mielőtt teljesítené ezeket a követelményeket, az áldozat legfeljebb három nem fontos fájlon tesztelheti a visszafejtést.

Javítsa ki a Ransom Note másolatait a MedusaLocker sablonból

A Javítási váltságdíj teljes szövege a következő:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Melyek a Ransomware leggyakoribb terjesztési vektorai?

A zsarolóvírusok különféle eloszlási vektorokon keresztül behatolhatnak a rendszerekbe, de a leggyakoribbak közül néhány:

Adathalász e-mailek: Az adathalász e-mailek a zsarolóvírus-terjesztés elsődleges módszerei. A támadók megtévesztő e-maileket küldenek, amelyek rosszindulatú mellékleteket vagy linkeket tartalmaznak, gyakran törvényes entitásnak vagy szervezetnek adják ki magukat. Ezekre a mellékletekre vagy hivatkozásokra kattintva zsarolóprogramok letöltése és végrehajtása indítható el.

Rosszindulatú webhelyek: A Ransomware terjeszthető feltört vagy rosszindulatú webhelyeken keresztül. Az ilyen webhelyek látogatása vagy a rosszindulatú hirdetésekre való kattintás a zsarolóprogramok automatikus letöltéséhez és telepítéséhez vezethet az áldozat rendszerére.

Exploit Kits: A kizsákmányoló készletek olyan eszközkészletek, amelyek előre megírt kódot tartalmaznak, amelyet a szoftverek vagy webböngészők sebezhetőségeinek kihasználására terveztek. A kiberbűnözők kihasználó készleteket használnak a rendszerek sérülékenységeinek automatikus azonosítására és kihasználására, lehetővé téve számukra, hogy felhasználói beavatkozás nélkül szállítsanak ki zsarolóprogramokat.

Szoftver sebezhetőségek: A Ransomware készítői gyakran használják ki az operációs rendszerek vagy szoftveralkalmazások ismert sebezhetőségeit, hogy jogosulatlan hozzáférést szerezzenek a rendszerekhez. A biztonsági javítások és frissítések telepítésének elmulasztása miatt a rendszerek ki vannak téve a zsarolóvírusok általi kihasználásnak.

Drive-by letöltések: Drive-by letöltések akkor fordulnak elő, amikor zsarolóprogramot töltenek le és telepítenek az áldozat rendszerére az áldozat tudta vagy beleegyezése nélkül. Ez gyakran akkor fordul elő, amikor feltört webhelyeket keres fel, vagy rosszindulatú hivatkozásokra kattint.

Social Engineering taktika: A Ransomware-terjesztők gyakran alkalmaznak szociális tervezési taktikákat, hogy rávegyék a felhasználókat rosszindulatú kód futtatására. Ez magában foglalhatja a felhasználók csábítását rosszindulatú szoftverek letöltésére és futtatására megtévesztő hirdetésekkel, hamis szoftverfrissítésekkel vagy csalárd ajánlatokkal.

A zsarolóprogram-fertőzések kockázatának csökkentése érdekében a felhasználóknak és a szervezeteknek erőteljes kiberbiztonsági intézkedéseket kell bevezetniük, mint például a rendszeres szoftverfrissítések, az alkalmazottak képzése az adathalász e-mailek azonosításáról, valamint jó hírű vírusirtó szoftverek és tűzfalak használata. Ezenkívül a kritikus adatok rendszeres biztonsági mentése elengedhetetlen a zsarolóvírus-támadások helyreállításához.