Repair Ransomware is gebaseerd op MedusaLocker

Terwijl we de nieuw ontdekte bestandsvoorbeelden doornamen, kwamen we schadelijke software tegen met de naam Repair, die tot de MedusaLocker-ransomwarefamilie behoort. Repair functioneert als ransomware die gegevens versleutelt.

Tijdens onze analyse hebben we vastgesteld dat het programma bestanden versleutelde en een extensie ".repair" aan hun bestandsnamen toevoegde. Een bestand dat oorspronkelijk "1.jpg" heette, verscheen bijvoorbeeld als "1.jpg.repair", "2.png" als "2.png.repair", enzovoort.

Zodra het versleutelingsproces was voltooid, genereerde de ransomware een HTML-bestand met de titel "How_to_back_files.html", met daarin het losgeldbriefje. Naast het eisen van betaling voor de decodering, maakt deze ransomware gebruik van dubbele afpersingstactieken door slachtoffers te bedreigen met datalekken.

Het losgeldbriefje geeft duidelijk aan dat Repair zich primair richt op bedrijven en niet op individuele gebruikers. Het informeert dat de bestanden op het bedrijfsnetwerk zijn gecodeerd en dat vertrouwelijke of persoonlijke gegevens zijn geëxtraheerd.

De notitie benadrukt dat alleen de aanvallers de mogelijkheid hebben om de gecodeerde bestanden te herstellen. Elke poging om de bestanden te hernoemen, wijzigen of handmatig te decoderen zal resulteren in onomkeerbare gegevensbeschadiging.

Om de bestanden te ontsleutelen, moet het slachtoffer losgeld betalen, met een waarschuwing dat weigering om hieraan te voldoen zal leiden tot de gelekte of verkochte inhoud. Als er niet binnen 72 uur contact wordt gelegd met de cybercriminelen, zal het losgeldbedrag stijgen. Voordat aan deze eisen wordt voldaan, mag het slachtoffer de decodering van maximaal drie onbelangrijke bestanden testen.

Reparatie losgeldbrief kopieert MedusaLocker-sjabloon

De volledige tekst van de losgeldbrief voor Repair luidt als volgt:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Wat zijn de meest voorkomende distributievectoren voor ransomware?

Ransomware kan systemen infiltreren via verschillende distributievectoren, maar enkele van de meest voorkomende zijn:

Phishing-e-mails: Phishing-e-mails zijn een primaire methode voor de verspreiding van ransomware. Aanvallers sturen misleidende e-mails met kwaadaardige bijlagen of links, waarbij ze zich vaak voordoen als legitieme entiteiten of organisaties. Als u op deze bijlagen of links klikt, kan het downloaden en uitvoeren van ransomware worden geactiveerd.

Schadelijke websites: Ransomware kan worden verspreid via gecompromitteerde of kwaadaardige websites. Het bezoeken van dergelijke websites of het klikken op kwaadaardige advertenties kan leiden tot het automatisch downloaden en installeren van ransomware op het systeem van het slachtoffer.

Exploitkits: Exploitkits zijn toolkits die vooraf geschreven code bevatten die is ontworpen om kwetsbaarheden in software of webbrowsers te misbruiken. Cybercriminelen gebruiken exploitkits om automatisch kwetsbaarheden in systemen te identificeren en te exploiteren, waardoor ze ransomware-payloads kunnen leveren zonder tussenkomst van de gebruiker.

Softwarekwetsbaarheden: makers van ransomware maken vaak misbruik van bekende kwetsbaarheden in besturingssystemen of softwareapplicaties om ongeautoriseerde toegang tot systemen te verkrijgen. Als beveiligingspatches en updates niet worden geïnstalleerd, zijn systemen vatbaar voor misbruik door ransomware.

Drive-by-downloads: Drive-by-downloads vinden plaats wanneer ransomware wordt gedownload en op het systeem van een slachtoffer geïnstalleerd zonder dat het slachtoffer dit weet of ermee instemt. Dit gebeurt vaak wanneer u gecompromitteerde websites bezoekt of op kwaadaardige links klikt.

Social engineering-tactieken: Ransomware-distributeurs gebruiken vaak social engineering-tactieken om gebruikers te misleiden zodat ze kwaadaardige code uitvoeren. Hierbij kan het gaan om het verleiden van gebruikers om kwaadaardige software te downloaden en uit te voeren via misleidende advertenties, valse software-updates of frauduleuze aanbiedingen.

Om het risico op ransomware-infecties te beperken, moeten gebruikers en organisaties robuuste cyberbeveiligingsmaatregelen implementeren, zoals regelmatige software-updates, training van medewerkers in het identificeren van phishing-e-mails en het gebruik van gerenommeerde antivirussoftware en firewalls. Bovendien is het onderhouden van regelmatige back-ups van kritieke gegevens essentieel voor herstel in het geval van een ransomware-aanval.