Reparer ransomware er basert på MedusaLocker

Mens vi gikk gjennom nyoppdagede fileksempler, kom vi over en ondsinnet programvare kalt Repair, som tilhører MedusaLocker løsepengevarefamilien. Reparasjon fungerer som løsepengevare som krypterer data.

Under vår analyse observerte vi at programmet krypterte filer og la til en ".repair"-utvidelse til filnavnene deres. For eksempel, en fil opprinnelig kalt "1.jpg" dukket opp som "1.jpg.repair", "2.png" som "2.png.repair" og så videre.

Når krypteringsprosessen var fullført, genererte løsepengevaren en HTML-fil med tittelen "How_to_back_files.html", som inneholder løsepengernotatet. Bortsett fra å kreve betaling for dekryptering, bruker denne løsepengevaren dobbel utpressingstaktikk ved å true ofre med datalekkasjer.

Løsepengene indikerer tydelig at Repair først og fremst retter seg mot selskaper i stedet for individuelle brukere. Den informerer om at filene på bedriftens nettverk er kryptert, og konfidensielle eller personlige data er trukket ut.

Notatet understreker at bare angriperne har evnen til å gjenopprette de krypterte filene. Ethvert forsøk på å endre navn, endre eller manuelt dekryptere filene vil resultere i irreversibel datakorrupsjon.

For å dekryptere filene, er offeret pålagt å betale løsepenger, med en advarsel om at nektelse av å overholde vil føre til lekket eller solgt innhold. Unnlatelse av å etablere kontakt med nettkriminelle innen 72 timer vil føre til en økning i løsepengene. Før de oppfyller disse kravene, har offeret lov til å teste dekryptering på opptil tre uviktige filer.

Reparer løsepenger-notat kopier MedusaLocker-mal

Den fullstendige teksten til reparasjons løsepengenotatet lyder som følger:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Hva er de vanligste distribusjonsvektorene for ransomware?

Ransomware kan infiltrere systemer gjennom ulike distribusjonsvektorer, men noen av de vanligste inkluderer:

Phishing-e-poster: Phishing-e-poster er en primær metode for distribusjon av løsepenger. Angripere sender villedende e-poster som inneholder ondsinnede vedlegg eller lenker, som ofte utgir seg for å være legitime enheter eller organisasjoner. Å klikke på disse vedleggene eller koblingene kan utløse nedlasting og kjøring av løsepengeprogramvare.

Ondsinnede nettsteder: Ransomware kan distribueres gjennom kompromitterte eller ondsinnede nettsteder. Å besøke slike nettsteder eller klikke på ondsinnede annonser kan føre til automatisk nedlasting og installasjon av løsepengeprogramvare på offerets system.

Exploit Kits: Exploit kits er verktøysett som inneholder forhåndsskrevet kode designet for å utnytte sårbarheter i programvare eller nettlesere. Nettkriminelle bruker utnyttelsessett for automatisk å identifisere og utnytte sårbarheter i systemer, slik at de kan levere løsepengelaster uten brukerinteraksjon.

Programvaresårbarheter: Ransomware-skapere utnytter ofte kjente sårbarheter i operativsystemer eller programvareapplikasjoner for å få uautorisert tilgang til systemer. Unnlatelse av å installere sikkerhetsoppdateringer og oppdateringer gjør systemene utsatt for utnyttelse av løsepengeprogramvare.

Drive-by-nedlastinger: Drive-by-nedlastinger skjer når løsepengevare lastes ned og installeres på et offers system uten deres viten eller samtykke. Dette skjer ofte når du besøker kompromitterte nettsteder eller klikker på skadelige lenker.

Social Engineering Tactics: Ransomware-distributører bruker ofte sosiale ingeniørtaktikker for å lure brukere til å utføre ondsinnet kode. Dette kan inkludere å lokke brukere til å laste ned og kjøre skadelig programvare gjennom villedende annonser, falske programvareoppdateringer eller uredelige tilbud.

For å redusere risikoen for ransomware-infeksjoner, bør brukere og organisasjoner implementere robuste cybersikkerhetstiltak, som regelmessige programvareoppdateringer, opplæring av ansatte i å identifisere phishing-e-poster og bruk av anerkjent antivirusprogramvare og brannmurer. I tillegg er regelmessig sikkerhetskopiering av kritiske data avgjørende for gjenoppretting i tilfelle et løsepengeangrep.