Ransomware Meduza (MedusaLocker).

Meduza, un tipo di ransomware della famiglia MedusaLocker, è stato identificato durante la nostra analisi di campioni di malware. La sua funzione principale è crittografare i file e aggiunge un'estensione specifica (come ".meduza24") ai nomi dei file generando anche una richiesta di riscatto denominata "How_to_back_files.html".

Per illustrare, quando Meduza crittografa i file, li rinomina come segue: "1.jpg" diventa "1.jpg.meduza24", "2.png" cambia in "2.png.meduza24" e così via.

La richiesta di riscatto informa la vittima che i suoi file cruciali sono stati crittografati utilizzando i metodi di crittografia RSA e AES. Si sconsiglia vivamente qualsiasi tentativo di recuperare questi file utilizzando software di terze parti, poiché ciò potrebbe portare a un danneggiamento permanente. È inoltre sconsigliato modificare o rinominare i file crittografati.

Secondo la richiesta di riscatto, nessun software disponibile online può aiutare nella decrittazione e l'unica soluzione spetta agli aggressori. Dichiarano di aver raccolto dati altamente riservati e personali, archiviati su un server privato, che verranno cancellati al ricevimento del pagamento. Il mancato pagamento comporterebbe la pubblicazione o la vendita dei dati.

La nota sottolinea che gli aggressori sono motivati esclusivamente dal profitto finanziario e non hanno alcuna intenzione di danneggiare la reputazione o le operazioni commerciali del destinatario. Per dimostrare la loro capacità di decrittografare i file, offrono gratuitamente su richiesta la decrittografia di 2-3 file meno importanti.

Le informazioni di contatto per negoziare il riscatto e ottenere il software di decrittazione vengono fornite tramite due indirizzi e-mail (ithelp01@securitymy.name e ithelp01@yousheltered.com). La nota consiglia inoltre di creare un nuovo account di posta elettronica gratuito su protonmail.com per stabilire un contatto.

Dopo la scadenza delle 72 ore, l'importo del riscatto aumenta se la vittima non riesce a contattare gli aggressori. Inoltre, c'è un riferimento a Tor-chat per la comunicazione continua.

Nota di riscatto di Meduza per intero

Il testo completo della richiesta di riscatto di Meduza recita come segue:

IL TUO ID PERSONALE:

LA TUA RETE AZIENDALE È STATA PENETRATA
Tutti i tuoi file importanti sono stati crittografati!

I tuoi file sono al sicuro! Solo modificato. (RSA+AES)

QUALSIASI TENTATIVO DI RIPRISTINARE I VOSTRI FILE CON SOFTWARE DI TERZE PARTI
LO CORRUPPERA' PERMANENTEMENTE.
NON MODIFICARE I FILE CRITTOGRAFATI.
NON rinominare i file crittografati.

Nessun software disponibile su Internet può aiutarti. Siamo gli unici in grado di farlo
risolvere il tuo problema.

Abbiamo raccolto dati altamente riservati/personali. Questi dati sono attualmente archiviati su
un server privato. Questo server verrà immediatamente distrutto dopo il pagamento.
Se decidi di non pagare, rilasceremo i tuoi dati al pubblico o al rivenditore.
Quindi puoi aspettarti che i tuoi dati siano disponibili pubblicamente nel prossimo futuro.

Cerchiamo solo denaro e il nostro obiettivo non è danneggiare la tua reputazione o prevenirla
la tua attività dalla corsa.

Potrai inviarci 2-3 file non importanti e noi li decodificheremo gratuitamente
per dimostrare che siamo in grado di restituire i tuoi file.

Contattaci per il prezzo e ottieni il software di decrittazione.

e-mail:
ithelp01@securitymy.name
ithelp01@yousheltered.com
Per contattarci, crea un nuovo account email gratuito sul sito: protonmail.com
SE NON CI CONTATTATE ENTRO 72 ORE, IL PREZZO SARÀ PIÙ ALTO.

Tor-chat per essere sempre in contatto:

Come può il ransomware infettare il tuo computer?

Il ransomware può infettare il tuo computer attraverso vari metodi e spesso si basa su tattiche di ingegneria sociale per indurre gli utenti ad avviare l'infezione. Ecco alcuni modi comuni in cui il ransomware può infettare il tuo computer:

• Allegati e-mail dannosi: uno dei metodi più comuni è tramite e-mail di phishing. Gli aggressori inviano e-mail che sembrano legittime e possono contenere allegati, come PDF o documenti Office, con codice dannoso incorporato. Quando apri l'allegato, il ransomware viene eseguito.
• Collegamenti dannosi: le e-mail di phishing possono includere anche collegamenti a siti Web dannosi. Fare clic su questi collegamenti può portare a download drive-by, in cui il ransomware viene automaticamente scaricato ed eseguito a tua insaputa.
• Aggiornamenti software falsi: gli aggressori possono creare notifiche o popup di aggiornamenti software falsi che imitano aggiornamenti legittimi per il sistema operativo o il software. Se scarichi e installi questi aggiornamenti falsi, potresti inconsapevolmente installare un ransomware.
• Software infetto: a volte gli aggressori compromettono programmi di installazione di software legittimi e vi iniettano ransomware. Quando scarichi e installi quello che sembra essere un programma sicuro, installi inavvertitamente un ransomware.
• Malvertising: la pubblicità dannosa, o malvertising, coinvolge i criminali informatici che inseriscono annunci infetti su siti Web legittimi. Facendo clic su questi annunci puoi reindirizzarti a siti Web che distribuiscono ransomware.
• Attacchi RDP (Remote Desktop Protocol): se il tuo RDP non è protetto in modo adeguato, gli aggressori potrebbero sfruttare le vulnerabilità per ottenere l'accesso remoto al tuo computer. Una volta entrati, possono installare ransomware.
• Sfruttare le vulnerabilità: il ransomware può sfruttare le vulnerabilità del software nel sistema operativo o nelle applicazioni. Mantenere il software aggiornato con le ultime patch di sicurezza aiuta a proteggersi da questo metodo.
• Ingegneria sociale: gli aggressori possono spacciarsi per entità fidate, come il supporto tecnico o i colleghi, per indurti con l'inganno a scaricare ed eseguire file che contengono ransomware.