Lucky (MedusaLocker) Ransomware atakuje integralność Twoich danych
Table of Contents
Pojawienie się Lucky (MedusaLocker) Ransomware
Oprogramowanie ransomware Lucky (MedusaLocker) jest odmianą rodziny programów ransomware MedusaLocker . Działa według ugruntowanego schematu: szyfruje pliki i żąda zapłaty w zamian za ich odzyskanie.
Po uruchomieniu w systemie ransomware Lucky dodaje rozszerzenie „.lucky777” do zaszyfrowanych plików. Na przykład plik o nazwie „document.pdf” stałby się „document.pdf.lucky777”. Po zaszyfrowaniu ransomware zmienia tapetę pulpitu i generuje notatkę o okupie w pliku HTML zatytułowanym „READ_NOTE.html”.
Zrozumienie żądania okupu
Wiadomość z żądaniem okupu ostrzega ofiary, zwłaszcza firmy, że ich pliki zostały zablokowane przy użyciu algorytmów szyfrowania RSA i AES. Wyraźnie odradza zmianę nazw lub modyfikację zaszyfrowanych plików i zniechęca do korzystania z narzędzi deszyfrujących innych firm, twierdząc, że takie działania mogą skutkować trwałą utratą danych.
W notatce stwierdzono ponadto, że skradziono poufne dane firmy, w tym informacje o klientach. Aby przywrócić dostęp, ofiary są instruowane, aby zapłacić okup. Aby udowodnić, że odszyfrowanie jest możliwe, atakujący oferują bezpłatne odszyfrowanie dwóch lub trzech plików. Jednak narzucają 72-godzinny termin, po którym kwota okupu wzrasta. Jeśli żądanie zostanie zignorowane, sprawcy grożą wyciekiem lub sprzedażą skradzionych danych.
Oto treść listu z żądaniem okupu:
YOUR PERSONAL ID:
-
Hello dear management,
All your important files have been encrypted!
Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to
solve your problem.From your file storage, we have downloaded a large amount of confidential data of your company and personal data of your clients.
Data leakage will entail great reputational risks for you, we would not like that.
In case you do not contact us, we will initiate an auction for the sale of personal and confidential data.
After the auction is over, we will place the data in public access on our blog.
The link is left at the bottom of the note.
This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..
We only seek money and our goal is not to damage your reputation or prevent
your business from running.
You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.
Contact us for price and get decryption software.
email:
paul_letterman@zohomailcloud.ca
thomas_went@gmx.com
* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
* Tor-chat to always be in touch:
Rzeczywistość stojąca za szyfrowaniem ransomware
Ransomware, takie jak Lucky (MedusaLocker), ma na celu uczynienie odzyskiwania plików bez interwencji atakujących niemal niemożliwym. Tylko w rzadkich przypadkach, gdy występują luki w szyfrowaniu, pliki można odszyfrować bez płacenia okupu.
Jednak nawet jeśli ofiara zdecyduje się spełnić żądanie okupu, nie ma pewności, że atakujący udostępnią Ci narzędzie do odszyfrowania. Cyberprzestępcy są znani z ignorowania ofiar po dokonaniu płatności, co sprawia, że zapłata okupu jest ryzykownym i zawodnym rozwiązaniem. Ponadto spełnianie ich żądań tylko napędza dalsze ataki.
Zapobieganie utracie danych i infekcjom ransomware
Usunięcie ransomware Lucky z zainfekowanego systemu jest kluczowe, aby zapobiec dodatkowym szyfrowaniom. Jednak wyeliminowanie ransomware nie przywraca zablokowanych plików. Najlepszym sposobem działania jest poleganie na kopiach zapasowych danych — jeśli istnieją i są bezpiecznie przechowywane na zewnętrznym urządzeniu lub w usłudze w chmurze.
Aby zmniejszyć ryzyko związane z oprogramowaniem ransomware, organizacje i osoby prywatne powinny przechowywać wiele kopii zapasowych w różnych lokalizacjach. Obejmuje to urządzenia pamięci masowej offline i usługi w chmurze, które nie są bezpośrednio połączone z systemem głównym, zapobiegając ich uszkodzeniu przez oprogramowanie ransomware.
Jak rozprzestrzenia się ransomware
Lucky (MedusaLocker) ransomware, podobnie jak inne zagrożenia tego typu, polega na różnych metodach dystrybucji, aby dotrzeć do ofiar. E-maile phishingowe i oszukańcze taktyki inżynierii społecznej pozostają głównymi sposobami infekcji.
Aktorzy zagrożeń często maskują ransomware jako legalne oprogramowanie, łącząc je z popularnymi formatami plików, takimi jak pliki wykonywalne (.exe), dokumenty (.docx, .pdf) i archiwa (.zip, .rar). Te złośliwe pliki rozprzestrzeniają się za pośrednictwem wiadomości spamowych, zainfekowanych witryn internetowych, fałszywych aktualizacji oprogramowania i nielegalnych narzędzi do aktywacji oprogramowania.
Zachowaj czujność w obliczu ataków ransomware
Aby zmniejszyć prawdopodobieństwo infekcji, użytkownicy muszą zachować ostrożność podczas przeglądania sieci i obsługi wiadomości e-mail. Podejrzane załączniki i osadzone linki nigdy nie powinny być otwierane, chyba że ich autentyczność zostanie zweryfikowana.
Ponadto pobieranie oprogramowania wyłącznie z renomowanych źródeł i unikanie nieautoryzowanych modyfikacji oprogramowania znacznie zmniejsza narażenie na ransomware. Utrzymywanie aktualizacji oprogramowania i systemów operacyjnych za pośrednictwem oficjalnych kanałów dodatkowo pomaga zamknąć luki w zabezpieczeniach, które wykorzystuje ransomware.
Ostatnie przemyślenia
Lucky (MedusaLocker) ransomware jest przykładem zagrożeń, jakie stwarzają współczesne zagrożenia oparte na szyfrowaniu. Przejmując dostęp do krytycznych plików i grożąc ujawnieniem danych, osoby i organizacje są narażone na ryzyko finansowe i operacyjne. Jednak wpływ takich zagrożeń można złagodzić poprzez tworzenie kopii zapasowych danych, bezpieczne nawyki przeglądania i zwiększoną czujność. Zamiast ulegać żądaniom okupu, użytkownicy powinni skupić się na proaktywnych środkach cyberbezpieczeństwa, aby chronić swoje dane przed przyszłymi atakami.
