Infisert (MedusaLocker) ransomware vil låse offersystemer

Mens de analyserte nye malware-prøver, har forskere kommet over en løsepengevarevariant fra MedusaLocker-familien, som de har kalt "Infected". Denne løsepengevaren fungerer ved å kryptere filer og legge til utvidelsen ".infected" til navnene deres. I tillegg etterlater den en løsepengenotat med tittelen "HOW_TO_BACK_FILES.html."

For å illustrere hvordan Infected endrer filnavn når den krypterer dem, for eksempel, blir "1.jpg" "1.jpg.infected", og "2.png" blir transformert til "2.png.infected."

Løsepengene kommuniserer at offerets viktige filer er kryptert. Den understreker at disse filene, selv om de er låst, forblir trygge, men har gjennomgått kryptering ved hjelp av en kombinasjon av RSA- og AES-metoder. Merknaden advarer eksplisitt mot alle forsøk på å gjenopprette disse filene ved hjelp av tredjepartsprogramvare, da slike forsøk vil føre til permanent korrupsjon. Den fraråder også å endre eller gi nytt navn til de krypterte filene.

Notatet hevder at bare ransomware-operatørene kan løse problemet, og sier at ingen tredjepartsprogramvare kan hjelpe i denne saken. Videre nevner den innsamling av svært konfidensielle eller personlige data, som er lagret på en privat server. Hvis offeret velger å ikke betale løsepengene, vil disse dataene enten bli offentliggjort eller solgt til en forhandler, og dermed bli offentlig tilgjengelige.

Notatet gir kontaktdetaljer for å nå ut til operatørene, inkludert en Tor-basert URL for kommunikasjon. Den gir instruksjoner om hvordan du får tilgang til Tor-nettverket og deltar i en chat med dem. I tillegg gir den e-postadresser (ithelp02@securitymy.name og ithelp02@yousheltered.com) for kommunikasjon.

Løsepengene kan økes dersom offeret ikke etablerer kontakt med operatørene innen 72 timer, noe som legger til et tidssensitivt aspekt til situasjonen.

Infiserte truer med å øke løsepenger på tre dager

Den fullstendige teksten til den infiserte løsepengenotatet lyder som følger:

DIN PERSONLIGE ID:

BEDRIFTSNETTVERKET ER PENETRERT
Alle dine viktige filer er kryptert!

Filene dine er trygge! Kun modifisert. (RSA+AES)

EVENTUELLE FORSØK PÅ Å GJENOPPE FILENE DINE MED TREDJEPARTSPROGRAMVARE
VIL PERMANENT KORRUPTERE DET.
IKKE ENDRE KRYPTERT FILER.
IKKE GI KRYPTERT FILER GJENNOMFØR.

Ingen programvare tilgjengelig på internett kan hjelpe deg. Vi er de eneste som kan
løse problemet ditt.

Vi samlet inn svært konfidensielle/personlige data. Disse dataene er for øyeblikket lagret på
en privat server. Denne serveren vil umiddelbart bli ødelagt etter betalingen din.
Hvis du bestemmer deg for å ikke betale, vil vi frigi dataene dine til offentlig eller videreselger.
Så du kan forvente at dataene dine blir offentlig tilgjengelig i nær fremtid.

Vi søker kun penger og målet vårt er ikke å skade omdømmet ditt eller forhindre
virksomheten din fra å kjøre.

Du kan sende oss 2-3 ikke-viktige filer, og vi vil dekryptere dem gratis
for å bevise at vi er i stand til å gi tilbake filene dine.

Kontakt oss for pris og få dekrypteringsprogramvare.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Merk at denne serveren kun er tilgjengelig via Tor-nettleseren

Følg instruksjonene for å åpne lenken:

1. Skriv inn adressen "hxxps://www.torproject.org" i nettleseren din. Den åpner Tor-siden.
2. Trykk på "Last ned Tor", trykk deretter "Last ned Tor-nettleserpakke", installer og kjør den.
3. Nå har du Tor-nettleseren. Åpne qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion i Tor-nettleseren
4. Start en chat og følg de videre instruksjonene.
   Hvis du ikke kan bruke lenken ovenfor, bruk e-posten:
   ithelp02@securitymy.name
   ithelp02@yousheltered.com

For å kontakte oss, opprett en ny gratis e-postkonto på nettstedet: protonmail.com
HVIS DU IKKE KONTAKTER OSS INNEN 72 TIMER, VIL PRISEN VÆRE HØYERE.

Hvordan kan ransomware som infisert komme på systemet ditt?

Ransomware som Infected kan infiltrere systemet ditt på forskjellige måter. Her er noen vanlige måter løsepengevare kan komme inn på datamaskinen din:

• Phishing-e-poster: Phishing-e-poster er en av de vanligste leveringsmetodene for løsepengeprogramvare. Nettkriminelle sender villedende e-poster som ser ut til å være fra en legitim kilde, men de inneholder ondsinnede vedlegg eller lenker. Når du åpner vedlegget eller klikker på lenken, kan det laste ned og kjøre løsepengevaren på systemet ditt.
• Ondsinnede nettsteder: Å besøke ondsinnede eller kompromitterte nettsteder kan også føre til ransomware-infeksjoner. Disse nettstedene kan utnytte sårbarheter i nettleseren din eller plugins for å laste ned og installere løsepengevare uten din viten eller samtykke.
• Drive-By-nedlastinger: Ransomware kan leveres gjennom "drive-by-nedlastinger" der malware automatisk lastes ned og installeres på systemet ditt når du besøker et kompromittert eller skadelig nettsted. Dette skjer vanligvis uten brukerinteraksjon.
• Malvertising: Nettkriminelle kan bruke ondsinnet reklame (malvertising) på legitime nettsteder for å distribuere løsepengeprogramvare. Ved å klikke på disse annonsene kan det utløse nedlasting og installasjon av løsepengeprogramvare.
• Programvaresårbarheter: Utdatert eller uopprettet programvare kan utnyttes av løsepengeprogramvare. Hvis operativsystemet eller applikasjonene har kjente sårbarheter som ikke er korrigert, kan angripere utnytte dem for å få tilgang til systemet og distribuere løsepengeprogramvare.
• Upålitelige nedlastinger: Nedlasting av programvare, filer eller torrenter fra upålitelige eller uoffisielle kilder kan være risikabelt. Noen nedlastinger kan være sammen med løsepengeprogramvare eller annen skadelig programvare, så det er viktig å kun laste ned fra anerkjente kilder.
• USB-stasjoner og eksterne enheter: Ransomware kan spres gjennom infiserte USB-stasjoner eller eksterne enheter. Hvis du kobler en enhet som inneholder løsepengevare til datamaskinen din, kan den raskt infisere systemet ditt.