Genesis Ransomware er en MedusaLocker-klon

Teamet vårt har identifisert Genesis ransomware, som tilhører MedusaLocker ransomware-familien. Denne typen skadelig programvare krypterer filer og krever betaling for dekryptering.

Under testingen vår krypterte Genesis (MedusaLocker) løsepengevare filer på testmaskinen vår og la til en ".genesis15"-utvidelse til filnavnene deres (merk at antallet kan variere avhengig av varianten av programmet). For eksempel ble en fil som opprinnelig het "1.jpg" transformert til "1.jpg.genesis15," og "2.png" ble "2.png.genesis15."

Etter å ha fullført krypteringsprosessen, deponerte løsepengevaren en løsepengeseddel kalt "HOW_TO_BACK_FILES.html." Meldingen i HTML-filen indikerer at Genesis (MedusaLocker) malware spesifikt retter seg mot selskaper i stedet for individuelle brukere. Ifølge notatet er offerets bedriftsnettverk blitt kompromittert, og de krypterte filene, sikret ved hjelp av RSA- og AES-krypteringsalgoritmer, hadde også svært sensitive data hentet fra nettverket.

Offeret blir advart om at endring av navn på de berørte filene, modifikasjoner eller bruk av tredjepartsprogramvare kan føre til permanent tap av data. For å starte dekrypteringsprosessen, må offeret betale løsepenger. Selv om det nøyaktige beløpet ikke er spesifisert i notatet, nevnes det at kontakt med angriperne etter 72 timer vil resultere i økt løsepenger.

Før du foretar noen betaling, har offeret muligheten til å teste dekrypteringen på tre filer. Unnlatelse av å etterkomme nettkriminelles krav kan føre til at de stjålne dataene selges eller lekkes.

Genesis Ransom Note Copies MedusaLocker

Den fullstendige teksten i 1. Mosebok løsepengenotat lyder som følger:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Hvordan distribueres ransomware ofte på nettet?

Ransomware distribueres ofte på nettet gjennom ulike metoder, utnytter sårbarheter og intetanende brukere. Noen vanlige distribusjonsmetoder inkluderer:

Phishing-e-poster: Nettkriminelle bruker ofte phishing-e-poster for å levere løsepengeprogramvare. Disse e-postene kan inneholde ondsinnede vedlegg eller lenker som, når de klikkes, laster ned og kjører løsepengevaren på offerets system. E-postene er laget for å lure brukere til å åpne vedlegget eller klikke på lenken, ofte ved å utgi seg for å være legitime enheter eller hastemeldinger.

Ondsinnede nettsteder: Å besøke kompromitterte eller ondsinnede nettsteder kan utsette brukere for kjørende nedlastinger. I dette scenariet blir skadelig programvare, inkludert løsepengevare, automatisk lastet ned og utført på brukerens system uten deres viten eller samtykke. Denne metoden er ofte assosiert med nettsteder som er vert for skadelig innhold eller utnytter programvaresårbarheter.

Malvertising: Ondsinnet reklame, eller malvertising, innebærer å plassere ondsinnet kode i nettannonser. Når brukere klikker på disse annonsene, kan de ubevisst laste ned og installere løsepengevare på enhetene sine. Malvertising kan forekomme på legitime nettsteder gjennom kompromitterte annonsenettverk.

Drive-by-nedlastinger: Nettkriminelle kan utnytte sårbarheter i programvare, nettlesere eller operativsystemer for å starte drive-by-nedlastinger. Denne metoden lar løsepengevare automatisk lastes ned og kjøres når en bruker besøker et kompromittert eller ondsinnet nettsted uten at det er nødvendig med interaksjon.

Vannhullsangrep: I vannhullsangrep retter hackere seg mot nettsteder som besøkes av en bestemt gruppe eller bransje. Ved å kompromittere disse nettstedene med løsepengevare, kan angripere infisere systemene til enkeltpersoner eller organisasjoner som besøker disse nettstedene, og utnytte tilliten knyttet til de målrettede nettstedene.

Flyttbare medier og infisert programvare: Ransomware kan spre seg gjennom infiserte programvarenedlastinger eller ondsinnede filer på flyttbare medier som USB-stasjoner. Brukere kan ubevisst introdusere løsepengeprogramvare til systemene sine ved å laste ned kompromittert programvare eller sette inn infiserte eksterne enheter.