Attack Ransomware er en MedusaLocker-variant
Under en undersøkelse av nye prøver av skadelig programvare, kom teamet vårt av forskere over en type løsepengevare kjent som Attack.
Denne skadelige programvaren, som tilhører MedusaLocker-ransomware-familien, krypterer data og ber om betaling for dekrypteringen. Angreps løsepengevare finnes i forskjellige former, og hver versjon legger til et annet nummer til ".attack"-utvidelsen til krypterte filer. For eksempel kan en fil med navnet "1.jpg" transformeres til "1.jpg.attack7", osv. Når krypteringen er fullført, lager løsepengevaren en melding kalt "how_to_back_files.html" som krever løsepenger. Fra meldingen blir det tydelig at løsepengevaren retter seg mot bedrifter i stedet for enkeltpersoner.
Løsepengemeldingen indikerer at angriperne har penetrert offerselskapets nettverk og kryptert filene deres ved hjelp av avanserte kryptografiske algoritmer (RSA og AES). Den advarer mot forsøk på å endre navn på eller endre de krypterte filene eller bruke tredjeparts dekrypteringsverktøy, da det vil gjøre filene permanent uopprettelige. I tillegg heter det i meldingen at svært sensitive data ble stjålet fra offerets nettverk og krever en uspesifisert løsepenge, som øker dersom kontakt ikke er etablert innen 72 timer. Ofre kan teste dekryptering av opptil tre filer før de møter løsepengekravet. Hvis løsepengene ikke betales, truer angriperne med å offentliggjøre eller selge de stjålne dataene.
Attack Ransom Note lover dekryptering av tre filer
Den fullstendige teksten til løsepengenotatet for angrep lyder som følger:
DIN PERSONLIGE ID:
BEDRIFTSNETTVERKET ER PENETRERT
Alle dine viktige filer er kryptert!Filene dine er trygge! Kun modifisert. (RSA+AES)
EVENTUELLE FORSØK PÅ Å GJENOPPE FILENE DINE MED TREDJEPARTSPROGRAMVARE
VIL PERMANENT KORRUPTERE DET.
IKKE ENDRE KRYPTERT FILER.
IKKE GI KRYPTERT FILER GJENNOMFØR.Ingen programvare tilgjengelig på internett kan hjelpe deg. Vi er de eneste som kan
løse problemet ditt.Vi samlet inn svært konfidensielle/personlige data. Disse dataene er for øyeblikket lagret på
en privat server. Denne serveren vil umiddelbart bli ødelagt etter betalingen din.
Hvis du bestemmer deg for å ikke betale, vil vi frigi dataene dine til offentlig eller videreselger.
Så du kan forvente at dataene dine blir offentlig tilgjengelig i nær fremtid.Vi søker kun penger og målet vårt er ikke å skade omdømmet ditt eller forhindre
virksomheten din fra å kjøre.Du kan sende oss 2-3 ikke-viktige filer, og vi vil dekryptere dem gratis
for å bevise at vi er i stand til å gi tilbake filene dine.Kontakt oss for pris og få dekrypteringsprogramvare.
e-post:
ithelp01@decorous.cyou
ithelp01@decorous.cyou
- For å kontakte oss, opprett en ny gratis e-postkonto på nettstedet: protonmail.com
HVIS DU IKKE KONTAKTER OSS INNEN 72 TIMER, VIL PRISEN VÆRE HØYERE.
Hvordan distribueres ransomware som angrep vanligvis?
Ransomware som Attack distribueres vanligvis gjennom ulike metoder, inkludert phishing-e-poster, utnyttelsessett, malvertising, social engineering og remote desktop protocol (RDP)-angrep. Phishing-e-poster inneholder vanligvis ondsinnede vedlegg eller lenker som, når de klikkes, laster ned og kjører løsepengevaren. Utnyttelsessett utnytter sårbarheter i programvare eller operativsystemer for å levere og installere løsepengevaren.
Malvertising innebærer å plassere ondsinnet kode i legitime nettannonser, som, når de klikkes, laster ned og installerer løsepengevaren. Sosial ingeniør-taktikker brukes til å lure brukere til å laste ned og kjøre løsepengevaren, mens RDP-angrep involverer brute-forcing RDP-legitimasjon for å få tilgang til et system og distribuere løsepengevaren. Uavhengig av metoden som brukes, er det viktig å utvise forsiktighet og vedta beste praksis for å unngå å bli offer for løsepengevareangrep.
