„Genesis Ransomware“ yra „MedusaLocker“ klonas

Mūsų komanda nustatė Genesis išpirkos reikalaujančią programinę įrangą, kuri priklauso MedusaLocker išpirkos reikalaujančių programų šeimai. Šio tipo kenkėjiška programinė įranga užšifruoja failus ir reikalauja sumokėti už jų iššifravimą.

Testavimo metu „Genesis“ („MedusaLocker“) išpirkos reikalaujanti programa užšifravo failus mūsų bandymo mašinoje ir prie jų failų pavadinimų pridėjo plėtinį „.genesis15“ (atminkite, kad skaičius gali skirtis priklausomai nuo programos varianto). Pavyzdžiui, failas, iš pradžių pavadintas „1.jpg“, buvo paverstas „1.jpg.genesis15“, o „2.png“ tapo „2.png.genesis15“.

Užbaigus šifravimo procesą, išpirkos reikalaujanti programa įnešė išpirkos raštelį pavadinimu „HOW_TO_BACK_FILES.html“. Pranešimas HTML faile rodo, kad Genesis (MedusaLocker) kenkėjiška programa yra skirta įmonėms, o ne atskiriems vartotojams. Anot rašto, nukentėjusiojo įmonės tinklas buvo pažeistas, o užšifruotuose failuose, apsaugotuose naudojant RSA ir AES kriptografinius algoritmus, taip pat buvo iš tinklo išgauti itin jautrūs duomenys.

Auka įspėjama, kad pakeitus paveiktų failų pavadinimus, atlikus pakeitimus arba naudojant trečiosios šalies atkūrimo programinę įrangą, duomenys gali būti prarasti visam laikui. Norėdami pradėti iššifravimo procesą, auka turi sumokėti išpirką. Nors raštelyje tiksli suma nenurodoma, minima, kad susisiekus su užpuolikais po 72 valandų bus padidinta išpirka.

Prieš atlikdamas bet kokį mokėjimą, auka turi galimybę išbandyti trijų failų iššifravimą. Nesilaikant kibernetinio nusikaltėlio reikalavimų, pavogti duomenys gali būti parduoti arba nutekinti.

„Genesis Ransom Note“ kopijuoja „MedusaLocker“.

Visas Pradžios knygos išpirkos rašto tekstas skamba taip:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Kaip „Ransomware“ dažniausiai platinama internete?

Išpirkos reikalaujančios programos dažniausiai platinamos internete įvairiais būdais, išnaudojant pažeidžiamumą ir nieko neįtariančius vartotojus. Kai kurie įprasti platinimo būdai:

Sukčiavimo el. laiškai: kibernetiniai nusikaltėliai dažnai naudoja sukčiavimo el. laiškus, kad pristatytų išpirkos reikalaujančias programas. Šiuose el. laiškuose gali būti kenkėjiškų priedų arba nuorodų, kurias spustelėjus atsisiunčiama ir vykdoma išpirkos reikalaujanti programa aukos sistemoje. El. laiškai skirti apgaule apgauti vartotojus atidaryti priedą arba spustelėti nuorodą, dažnai apsimetant teisėtais subjektais arba skubiais pranešimais.

Kenkėjiškos svetainės: lankantis pažeistose arba kenkėjiškose svetainėse naudotojai gali būti atsisiunčiami be pertraukų. Pagal šį scenarijų kenkėjiškos programos, įskaitant išpirkos reikalaujančias programas, automatiškai atsisiunčiamos ir vykdomos vartotojo sistemoje be jo žinios ar sutikimo. Šis metodas dažnai siejamas su svetainėmis, kuriose yra kenkėjiško turinio arba išnaudojamos programinės įrangos pažeidžiamumas.

Kenkėjiška reklama : kenkėjiška reklama apima kenkėjiško kodo įdėjimą į internetinius skelbimus. Kai vartotojai spustelėja šiuos skelbimus, jie gali nesąmoningai atsisiųsti ir įdiegti išpirkos reikalaujančią programinę įrangą savo įrenginiuose. Piktnaudžiavimas teisėtose svetainėse gali įvykti per pažeistus skelbimų tinklus.

Atsisiuntimai pagal vairuotoją: kibernetiniai nusikaltėliai gali pasinaudoti programinės įrangos, naršyklių ar operacinių sistemų pažeidžiamumu, kad inicijuotų atsisiuntimus. Šis metodas leidžia automatiškai atsisiųsti ir vykdyti išpirkos reikalaujančią programinę įrangą, kai vartotojas apsilanko pažeistoje ar kenkėjiškoje svetainėje be jokios sąveikos.

„Watering Hole“ atakos: „ Watering Hole“ atakų metu įsilaužėliai taikosi į svetaines, kuriose lankosi konkreti grupė ar pramonės šaka. Pažeisdami šias svetaines išpirkos reikalaujančiomis programomis, užpuolikai gali užkrėsti asmenų ar organizacijų, besilankančių tose svetainėse, sistemas, taip padidindami pasitikėjimą, susijusį su tikslinėmis svetainėmis.

Išimama laikmena ir užkrėsta programinė įranga: Ransomware gali plisti per užkrėstos programinės įrangos atsisiuntimą arba kenkėjiškus failus, esančius keičiamojoje laikmenoje, pvz., USB diskuose. Vartotojai gali nesąmoningai įdiegti išpirkos reikalaujančią programinę įrangą į savo sistemas, atsisiųsdami pažeistą programinę įrangą arba įdėdami užkrėstus išorinius įrenginius.