Meduza (MedusaLocker) Ransomware

„Meduza“, kuri yra „MedusaLocker“ šeimos išpirkos reikalaujančios programos tipas, buvo nustatyta analizuojant kenkėjiškų programų pavyzdžius. Pagrindinė jo funkcija yra užšifruoti failus ir prie failų pavadinimų prideda konkretų plėtinį (pvz., „.meduza24“), taip pat generuoja išpirkos raštą pavadinimu „How_to_back_files.html“.

Pavyzdžiui, kai Meduza šifruoja failus, ji juos pervadina taip: „1.jpg“ tampa „1.jpg.meduza24“, „2.png“ pakeičiama į „2.png.meduza24“ ir pan.

Išpirkos raštelis informuoja auką, kad jų svarbiausi failai buvo užšifruoti naudojant RSA ir AES šifravimo metodus. Tai labai nerekomenduojama bandyti atkurti šiuos failus naudojant trečiosios šalies programinę įrangą, nes tai gali sukelti nuolatinę korupciją. Taip pat nerekomenduojama keisti ar pervardyti užšifruotų failų.

Remiantis išpirkos raštu, jokia internete prieinama programinė įranga negali padėti iššifruoti, o vienintelis sprendimas yra užpuolikams. Jie teigia surinkę labai konfidencialius ir asmeninius duomenis, saugomus privačiame serveryje, kurie bus ištrinti gavus apmokėjimą. Nesumokėjus duomenys būtų paviešinti arba parduoti.

Pastaboje pabrėžiama, kad užpuolikai yra motyvuoti tik finansinės naudos ir neketina pakenkti gavėjo reputacijai ar verslo operacijoms. Norėdami pademonstruoti savo gebėjimą iššifruoti failus, paprašius, jie siūlo nemokamai iššifruoti 2–3 mažiau svarbius failus.

Kontaktinė informacija, skirta derėtis dėl išpirkos ir gauti iššifravimo programinę įrangą, pateikiama dviem el. pašto adresais (ithelp01@securitymy.name ir ithelp01@yousheltered.com). Pastaboje taip pat patariama sukurti naują nemokamą el. pašto paskyrą protonmail.com, kad būtų galima užmegzti ryšį.

Pasibaigus 72 valandų terminui, išpirkos suma didėja, jei aukai nepavyksta susisiekti su užpuolikais. Be to, nuolatiniam bendravimui yra nuoroda į „Tor-chat“.

„Meduza Ransom Note“ visas

Visas Meduzos išpirkos rašto tekstas skamba taip:

JŪSŲ ASMENS ID:

JŪSŲ ĮMONĖS TINKLAS BUVO PASIKVERTAS
Visi jūsų svarbūs failai buvo užšifruoti!

Jūsų failai yra saugūs! Tik modifikuotas. (RSA+AES)

BETOKIE BANDYMAI ATSTATYTI JŪSŲ FAILUS SU TREČIŲJŲ ŠALIŲ PROGRAMINĖ ĮRANGA
NEMOKAMAI KORUMPUOŠ.
NEMODIKUOKITE KRIPTŲ FAILŲ.
NEPERVARDYKITE KRIPTŲ FAILŲ.

Jokia internete prieinama programinė įranga negali jums padėti. Mes vieninteliai sugebame
išspręsti savo problemą.

Mes rinkome labai konfidencialius / asmeninius duomenis. Šiuo metu šie duomenys yra saugomi
privatus serveris. Šis serveris bus nedelsiant sunaikintas po jūsų mokėjimo.
Jei nuspręsite nemokėti, mes paskelbsime jūsų duomenis viešai arba perpardavėjui.
Taigi galite tikėtis, kad artimiausiu metu jūsų duomenys bus viešai prieinami.

Mes tik siekiame pinigų ir mūsų tikslas nėra pakenkti jūsų reputacijai ar užkirsti kelią
jūsų verslas nebebus vykdomas.

Galite atsiųsti mums 2-3 nesvarbius failus ir mes juos iššifruosime nemokamai
įrodyti, kad galime grąžinti jūsų failus.

Susisiekite su mumis dėl kainos ir gaukite iššifravimo programinę įrangą.

paštas:
ithelp01@securitymy.name
ithelp01@yousheltered.com
Norėdami susisiekti su mumis, susikurkite naują nemokamą el. pašto paskyrą svetainėje: protonmail.com
JEI NESUSISIEKITE SU MUMIS PER 72 VALANDAS, KAINA BUS DIDESNĖ.

„Tor-chat“, kad visada palaikytumėte ryšį:

Kaip Ransomware gali užkrėsti jūsų kompiuterį?

Išpirkos reikalaujančios programos gali užkrėsti jūsų kompiuterį įvairiais būdais ir dažnai remiasi socialinės inžinerijos taktika, kad apgautų vartotojus, kad jie užsikrėstų. Štai keletas bendrų būdų, kaip išpirkos reikalaujančios programos gali užkrėsti jūsų kompiuterį:

• Kenkėjiški el. pašto priedai: vienas iš labiausiai paplitusių būdų yra sukčiavimo el. laiškai. Užpuolikai siunčia el. laiškus, kurie atrodo teisėti ir kuriuose gali būti priedų, pvz., PDF ar „Office“ dokumentų, su įterptu kenkėjišku kodu. Kai atidarote priedą, įvykdoma išpirkos reikalaujanti programa.
• Kenkėjiškos nuorodos: sukčiavimo el. laiškuose taip pat gali būti nuorodų į kenkėjiškas svetaines. Spustelėjus šias nuorodas gali būti atsisiunčiama automatiškai, kai išpirkos reikalaujanti programa automatiškai atsisiunčiama ir vykdoma be jūsų žinios.
• Netikri programinės įrangos naujiniai: užpuolikai gali sukurti netikrus programinės įrangos atnaujinimo pranešimus arba iššokančiuosius langus, kurie imituoja teisėtus operacinės sistemos ar programinės įrangos naujinius. Jei atsisiųsite ir įdiegsite šiuos netikrus naujinimus, galite nesąmoningai įdiegti išpirkos reikalaujančią programinę įrangą.
• Užkrėsta programinė įranga: kartais užpuolikai įsilaužia į teisėtus programinės įrangos diegimo įrenginius ir suleidžia į juos išpirkos reikalaujančių programų. Kai atsisiunčiate ir įdiegiate saugią programą, netyčia įdiegiate išpirkos reikalaujančią programą.
• Kenkėjiška reklama: kenkėjiška reklama apima kibernetinius nusikaltėlius, kurie pateikia užkrėstus skelbimus teisėtose svetainėse. Spustelėję šiuos skelbimus galite nukreipti jus į svetaines, platinančias išpirkos reikalaujančias programas.
• Nuotolinio darbalaukio protokolo (RDP) atakos: jei jūsų RDP yra netinkamai apsaugotas, užpuolikai gali išnaudoti pažeidžiamumą, kad gautų nuotolinę prieigą prie jūsų kompiuterio. Patekę į vidų, jie gali įdiegti išpirkos reikalaujančią programinę įrangą.
• Pažeidžiamumų išnaudojimas: Ransomware gali išnaudoti jūsų operacinės sistemos ar programų programinės įrangos spragas. Programinės įrangos atnaujinimas naudojant naujausius saugos pataisymus padeda apsisaugoti nuo šio metodo.
• Socialinė inžinerija: užpuolikai gali apsimesti patikimais subjektais, pvz., techninės pagalbos tarnybomis ar kolegomis, norėdami apgauti jus atsisiųsti ir vykdyti failus, kuriuose yra išpirkos reikalaujančios programos.