Ransomware taisymas yra pagrįstas MedusaLocker

Peržiūrėdami naujai atrastus failų pavyzdžius, susidūrėme su kenkėjiška programine įranga, pavadinta Repair, kuri priklauso MedusaLocker išpirkos reikalaujančių programų šeimai. Remontas veikia kaip išpirkos reikalaujanti programa, kuri užšifruoja duomenis.

Atlikdami analizę pastebėjome, kad programa užšifravo failus ir prie jų pavadinimų pridėjo plėtinį „.repair“. Pavyzdžiui, failas iš pradžių pavadinimu „1.jpg“ pasirodė kaip „1.jpg.repair“, „2.png“ kaip „2.png.repair“ ir pan.

Kai šifravimo procesas buvo baigtas, išpirkos reikalaujanti programa sugeneravo HTML failą pavadinimu „How_to_back_files.html“, kuriame buvo užrašas dėl išpirkos. Be to, kad reikalaujama sumokėti už iššifravimą, ši išpirkos programa taiko dvigubą turto prievartavimo taktiką, grasindama aukoms duomenų nutekėjimu.

Išpirkos raštelyje aiškiai nurodyta, kad „Remontas“ pirmiausia yra skirtas įmonėms, o ne atskiriems vartotojams. Informuoja, kad įmonės tinkle esantys failai buvo užšifruoti, išgauti konfidencialūs ar asmens duomenys.

Pastaboje pabrėžiama, kad tik užpuolikai turi galimybę atkurti užšifruotus failus. Bet kokie bandymai pervardyti, modifikuoti ar rankiniu būdu iššifruoti failus sukels negrįžtamą duomenų sugadinimą.

Norėdami iššifruoti failus, auka turi sumokėti išpirką su įspėjimu, kad atsisakymas laikytis lems nutekintą ar parduotą turinį. Jei per 72 valandas nepavyks užmegzti ryšio su kibernetiniais nusikaltėliais, išpirkos suma padidės. Prieš įvykdant šiuos reikalavimus, aukai leidžiama išbandyti iki trijų nesvarbių failų iššifravimą.

Pataisykite „Ransom Note“ kopijas „MedusaLocker“ šablone

Visas Remonto išpirkos rašto tekstas skamba taip:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Kokie yra labiausiai paplitę Ransomware platinimo vektoriai?

Ransomware gali įsiskverbti į sistemas per įvairius platinimo vektorius, tačiau kai kurie iš dažniausiai pasitaikančių yra:

Sukčiavimo el. laiškai: Sukčiavimo el. laiškai yra pagrindinis išpirkos reikalaujančių programų platinimo būdas. Užpuolikai siunčia apgaulingus el. laiškus, kuriuose yra kenkėjiškų priedų ar nuorodų, dažnai apsimesdami teisėtais subjektais ar organizacijomis. Spustelėjus šiuos priedus ar nuorodas, gali būti atsisiunčiama ir vykdoma išpirkos reikalaujančios programos.

Kenkėjiškos svetainės: Ransomware gali būti platinama per pažeistas ar kenkėjiškas svetaines. Lankantis tokiose svetainėse arba spustelėjus kenkėjiškus skelbimus, aukos sistemoje gali būti automatiškai atsisiunčiama ir įdiegiama išpirkos reikalaujanti programinė įranga.

Išnaudojimo rinkiniai: išnaudojimo rinkiniai yra įrankių rinkiniai, kuriuose yra iš anksto parašytas kodas, skirtas išnaudoti programinės įrangos ar žiniatinklio naršyklių pažeidžiamumą. Kibernetiniai nusikaltėliai naudoja išnaudojimo rinkinius, kad automatiškai nustatytų ir išnaudotų sistemų pažeidžiamumą, leisdami jiems pateikti išpirkos reikalaujančių programų naudingąsias apkrovas be vartotojo sąveikos.

Programinės įrangos pažeidžiamumas: Ransomware kūrėjai dažnai išnaudoja žinomus operacinių sistemų ar programinės įrangos pažeidžiamumus, kad gautų neteisėtą prieigą prie sistemų. Nesugebėjimas įdiegti saugos pataisų ir naujinimų sistemas gali išnaudoti išpirkos reikalaujančios programos.

Atsisiuntimai pagal vairuotoją: atsisiuntimai vyksta, kai išpirkos reikalaujančios programos atsisiunčiamos ir įdiegtos aukos sistemoje be jos žinios ar sutikimo. Taip dažnai nutinka lankantis pažeistose svetainėse arba spustelėjus kenkėjiškas nuorodas.

Socialinės inžinerijos taktika: Ransomware platintojai dažnai naudoja socialinės inžinerijos taktiką, norėdami apgauti vartotojus vykdyti kenkėjišką kodą. Tai gali apimti naudotojų viliojimą atsisiųsti ir paleisti kenkėjišką programinę įrangą apgaulingais skelbimais, suklastotais programinės įrangos naujiniais arba nesąžiningais pasiūlymais.

Siekdami sumažinti išpirkos reikalaujančių programų užkrėtimo riziką, vartotojai ir organizacijos turėtų įgyvendinti patikimas kibernetinio saugumo priemones, tokias kaip reguliarūs programinės įrangos atnaujinimai, darbuotojų mokymai atpažinti sukčiavimo el. laiškus ir patikimos antivirusinės programinės įrangos bei ugniasienių naudojimą. Be to, norint atkurti išpirkos programinės įrangos ataką, būtina reguliariai kurti svarbių duomenų atsargines kopijas.