Genesis Ransomware is een MedusaLocker-kloon

Ons team heeft de Genesis-ransomware geïdentificeerd, die tot de MedusaLocker-ransomwarefamilie behoort. Dit type kwaadaardige software versleutelt bestanden en eist betaling voor de ontsleuteling ervan.

Tijdens onze tests versleutelde de Genesis (MedusaLocker) ransomware bestanden op onze testmachine en voegde een extensie ".genesis15" toe aan hun bestandsnamen (merk op dat het aantal kan variëren afhankelijk van de variant van het programma). Een bestand dat oorspronkelijk "1.jpg" heette, werd bijvoorbeeld omgezet in "1.jpg.genesis15" en "2.png" werd "2.png.genesis15".

Na voltooiing van het versleutelingsproces plaatste de ransomware een losgeldbrief met de naam "HOW_TO_BACK_FILES.html." Het bericht in het HTML-bestand geeft aan dat de Genesis-malware (MedusaLocker) zich specifiek richt op bedrijven en niet op individuele gebruikers. Volgens de notitie is het bedrijfsnetwerk van het slachtoffer gecompromitteerd en zijn de gecodeerde bestanden, beveiligd met behulp van RSA- en AES-cryptografische algoritmen, ook zeer gevoelige gegevens uit het netwerk gehaald.

Het slachtoffer wordt gewaarschuwd dat het wijzigen van de namen van de getroffen bestanden, het aanbrengen van wijzigingen of het gebruik van herstelsoftware van derden tot permanent gegevensverlies kan leiden. Om het decoderingsproces te starten, moet het slachtoffer losgeld betalen. Hoewel het exacte bedrag niet in de notitie wordt vermeld, wordt vermeld dat contact opnemen met de aanvallers na 72 uur zal resulteren in een hoger losgeld.

Voordat het slachtoffer een betaling uitvoert, heeft het de mogelijkheid om de decodering van drie bestanden te testen. Het niet voldoen aan de eisen van de cybercrimineel kan ertoe leiden dat de gestolen gegevens worden verkocht of gelekt.

Genesis losgeldbriefje kopieert MedusaLocker

De volledige tekst van het Genesis-losgeldbriefje luidt als volgt:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Hoe wordt ransomware doorgaans online verspreid?

Ransomware wordt vaak online verspreid via verschillende methoden, waarbij gebruik wordt gemaakt van kwetsbaarheden en nietsvermoedende gebruikers. Enkele veel voorkomende distributiemethoden zijn:

Phishing-e-mails: Cybercriminelen gebruiken vaak phishing-e-mails om ransomware te bezorgen. Deze e-mails kunnen kwaadaardige bijlagen of links bevatten die, wanneer erop wordt geklikt, de ransomware downloaden en uitvoeren op het systeem van het slachtoffer. De e-mails zijn bedoeld om gebruikers ertoe te verleiden de bijlage te openen of op de link te klikken, vaak door zich voor te doen als legitieme entiteiten of door dringende berichten.

Schadelijke websites: Het bezoeken van gecompromitteerde of kwaadaardige websites kan gebruikers blootstellen aan drive-by downloads. In dit scenario wordt malware, inclusief ransomware, automatisch gedownload en uitgevoerd op het systeem van de gebruiker, zonder medeweten of toestemming van de gebruiker. Deze methode wordt vaak geassocieerd met websites die kwaadaardige inhoud hosten of softwarekwetsbaarheden exploiteren.

Malvertising: Schadelijke reclame, of malvertising, houdt in dat er kwaadaardige code in online advertenties wordt geplaatst. Wanneer gebruikers op deze advertenties klikken, downloaden en installeren ze onbewust ransomware op hun apparaten. Malvertising kan plaatsvinden op legitieme websites via gecompromitteerde advertentienetwerken.

Drive-by-downloads: Cybercriminelen kunnen kwetsbaarheden in software, browsers of besturingssystemen misbruiken om drive-by-downloads te initiëren. Met deze methode kan ransomware automatisch worden gedownload en uitgevoerd wanneer een gebruiker een gecompromitteerde of kwaadaardige website bezoekt, zonder dat enige interactie vereist is.

Watering Hole-aanvallen: Bij watering hole-aanvallen richten hackers zich op websites die door een specifieke groep of branche worden bezocht. Door deze websites met ransomware te compromitteren, kunnen aanvallers de systemen infecteren van individuen of organisaties die deze sites bezoeken, waarbij ze gebruik maken van het vertrouwen dat aan de beoogde sites is gekoppeld.

Verwisselbare media en geïnfecteerde software: Ransomware kan zich verspreiden via geïnfecteerde softwaredownloads of kwaadaardige bestanden op verwisselbare media zoals USB-drives. Gebruikers kunnen onbewust ransomware op hun systemen introduceren door gecompromitteerde software te downloaden of geïnfecteerde externe apparaten te plaatsen.