Il ransomware di riparazione è basato su MedusaLocker

Analizzando i campioni di file appena scoperti, ci siamo imbattuti in un software dannoso denominato Repair, che appartiene alla famiglia di ransomware MedusaLocker. La riparazione funziona come un ransomware che crittografa i dati.

Durante la nostra analisi, abbiamo osservato che il programma crittografava i file e aggiungeva l'estensione ".repair" ai nomi dei file. Ad esempio, un file originariamente denominato "1.jpg" appariva come "1.jpg.repair", "2.png" come "2.png.repair" e così via.

Una volta completato il processo di crittografia, il ransomware ha generato un file HTML intitolato "How_to_back_files.html" contenente la richiesta di riscatto. Oltre a richiedere il pagamento per la decrittazione, questo ransomware impiega tattiche di doppia estorsione minacciando le vittime con fughe di dati.

La richiesta di riscatto indica chiaramente che Repair si rivolge principalmente alle aziende piuttosto che ai singoli utenti. Informa che i file sulla rete aziendale sono stati crittografati e che sono stati estratti dati riservati o personali.

La nota sottolinea che solo gli aggressori possiedono la capacità di ripristinare i file crittografati. Qualsiasi tentativo di rinominare, modificare o decrittografare manualmente i file comporterà un danneggiamento irreversibile dei dati.

Per decrittografare i file, la vittima è tenuta a pagare un riscatto, con l'avvertimento che il rifiuto di obbedire porterà alla fuga o alla vendita del contenuto. Il mancato contatto con i criminali informatici entro 72 ore comporterà un aumento dell’importo del riscatto. Prima di soddisfare queste richieste, la vittima può testare la decrittazione su un massimo di tre file non importanti.

Ripara le copie della richiesta di riscatto del modello MedusaLocker

Il testo completo della richiesta di riscatto di riparazione recita quanto segue:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Quali sono i vettori di distribuzione più comuni del ransomware?

Il ransomware può infiltrarsi nei sistemi attraverso vari vettori di distribuzione, ma alcuni dei più comuni includono:

E-mail di phishing: le e-mail di phishing sono il metodo principale per la distribuzione del ransomware. Gli aggressori inviano e-mail ingannevoli contenenti allegati o collegamenti dannosi, spesso fingendosi entità o organizzazioni legittime. Facendo clic su questi allegati o collegamenti è possibile attivare il download e l'esecuzione del ransomware.

Siti Web dannosi: il ransomware può essere distribuito attraverso siti Web compromessi o dannosi. Visitare tali siti Web o fare clic su annunci dannosi può portare al download e all'installazione automatica del ransomware sul sistema della vittima.

Kit di exploit: i kit di exploit sono toolkit che contengono codice già scritto progettato per sfruttare le vulnerabilità nel software o nei browser web. I criminali informatici utilizzano kit di exploit per identificare e sfruttare automaticamente le vulnerabilità nei sistemi, consentendo loro di distribuire payload di ransomware senza l'interazione dell'utente.

Vulnerabilità del software: gli autori di ransomware spesso sfruttano vulnerabilità note nei sistemi operativi o nelle applicazioni software per ottenere accesso non autorizzato ai sistemi. La mancata installazione di patch e aggiornamenti di sicurezza lascia i sistemi vulnerabili allo sfruttamento da parte dei ransomware.

Download guidati: i download guidati si verificano quando il ransomware viene scaricato e installato sul sistema di una vittima a sua insaputa o senza il suo consenso. Ciò accade spesso quando si visitano siti Web compromessi o si fa clic su collegamenti dannosi.

Tattiche di ingegneria sociale: i distributori di ransomware utilizzano spesso tattiche di ingegneria sociale per indurre gli utenti a eseguire codice dannoso. Ciò potrebbe includere indurre gli utenti a scaricare ed eseguire software dannoso tramite annunci ingannevoli, aggiornamenti software falsi o offerte fraudolente.

Per mitigare il rischio di infezioni da ransomware, gli utenti e le organizzazioni dovrebbero implementare solide misure di sicurezza informatica, come aggiornamenti software regolari, formazione dei dipendenti sull’identificazione delle e-mail di phishing e l’uso di software antivirus e firewall affidabili. Inoltre, il mantenimento di backup regolari dei dati critici è essenziale per il ripristino in caso di attacco ransomware.