Genesis Ransomware è un clone di MedusaLocker

Il nostro team ha identificato il ransomware Genesis, che appartiene alla famiglia di ransomware MedusaLocker. Questo tipo di software dannoso crittografa i file e richiede un pagamento per la loro decrittazione.

Durante i nostri test, il ransomware Genesis (MedusaLocker) ha crittografato i file sulla nostra macchina di prova e ha aggiunto un'estensione ".genesis15" ai relativi nomi file (nota che il numero può variare a seconda della variante del programma). Ad esempio, un file originariamente denominato "1.jpg" è stato trasformato in "1.jpg.genesis15" e "2.png" è diventato "2.png.genesis15".

Dopo aver completato il processo di crittografia, il ransomware ha depositato una richiesta di riscatto denominata "HOW_TO_BACK_FILES.html." Il messaggio nel file HTML indica che il malware Genesis (MedusaLocker) prende di mira specificamente le aziende piuttosto che i singoli utenti. Secondo la nota, la rete aziendale della vittima è stata compromessa e dai file crittografati, protetti utilizzando algoritmi crittografici RSA e AES, sono stati estratti dalla rete anche dati altamente sensibili.

La vittima viene avvisata che alterare i nomi dei file interessati, apportare modifiche o utilizzare software di ripristino di terze parti potrebbe portare alla perdita permanente dei dati. Per avviare il processo di decrittazione, la vittima è tenuta a pagare un riscatto. Sebbene nella nota non sia specificato l'importo esatto, si precisa che contattare gli aggressori dopo 72 ore comporterà un aumento del riscatto.

Prima di effettuare qualsiasi pagamento, la vittima ha la possibilità di testare la decrittazione su tre file. Il mancato rispetto delle richieste del criminale informatico può portare alla vendita o alla fuga dei dati rubati.

La nota di riscatto di Genesis copia MedusaLocker

Il testo completo della richiesta di riscatto di Genesis recita come segue:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Come viene comunemente distribuito il ransomware online?

Il ransomware viene comunemente distribuito online attraverso vari metodi, sfruttando vulnerabilità e utenti ignari. Alcuni metodi di distribuzione comuni includono:

E-mail di phishing: i criminali informatici spesso utilizzano e-mail di phishing per diffondere ransomware. Queste e-mail possono contenere allegati o collegamenti dannosi che, se cliccati, scaricano ed eseguono il ransomware sul sistema della vittima. Le e-mail sono progettate per indurre gli utenti ad aprire l'allegato o a fare clic sul collegamento, spesso fingendosi entità legittime o messaggi urgenti.

Siti Web dannosi: la visita di siti Web compromessi o dannosi può esporre gli utenti a download drive-by. In questo scenario, il malware, incluso il ransomware, viene automaticamente scaricato ed eseguito sul sistema dell'utente a sua insaputa o senza il suo consenso. Questo metodo è spesso associato a siti Web che ospitano contenuti dannosi o sfruttano le vulnerabilità del software.

Malvertising: la pubblicità dannosa, o malvertising, implica l'inserimento di codice dannoso negli annunci pubblicitari online. Quando gli utenti fanno clic su questi annunci, potrebbero inconsapevolmente scaricare e installare ransomware sui propri dispositivi. Il malvertising può verificarsi su siti Web legittimi attraverso reti pubblicitarie compromesse.

Download drive-by: i criminali informatici possono sfruttare le vulnerabilità di software, browser o sistemi operativi per avviare download drive-by. Questo metodo consente al ransomware di essere scaricato ed eseguito automaticamente quando un utente visita un sito Web compromesso o dannoso senza alcuna interazione richiesta.

Attacchi Watering Hole: negli attacchi Watering Hole, gli hacker prendono di mira i siti Web frequentati da un gruppo o un settore specifico. Compromettendo questi siti Web con ransomware, gli aggressori possono infettare i sistemi di individui o organizzazioni che visitano tali siti, sfruttando la fiducia associata ai siti presi di mira.

Supporti rimovibili e software infetto: il ransomware può diffondersi tramite download di software infetto o file dannosi su supporti rimovibili come unità USB. Gli utenti potrebbero inconsapevolmente introdurre ransomware nei propri sistemi scaricando software compromesso o inserendo dispositivi esterni infetti.