Attack Ransomware to wariant MedusaLocker

Podczas badania nowych próbek złośliwego oprogramowania nasz zespół badaczy natrafił na rodzaj oprogramowania ransomware znanego jako Attack.

To złośliwe oprogramowanie, które należy do rodziny ransomware MedusaLocker, szyfruje dane i żąda zapłaty za ich odszyfrowanie. Atakujące ransomware istnieje w różnych formach, a każda wersja dodaje inny numer do rozszerzenia „.attack” zaszyfrowanych plików. Na przykład plik o nazwie „1.jpg" może zostać przekształcony w plik „1.jpg.attack7" itp. Po zakończeniu szyfrowania ransomware tworzy wiadomość o nazwie „how_to_back_files.html", która żąda okupu. Z wiadomości jasno wynika, że celem oprogramowania ransomware są firmy, a nie osoby fizyczne.

Wiadomość z żądaniem okupu wskazuje, że osoby atakujące przeniknęły do sieci firmy ofiary i zaszyfrowały jej pliki przy użyciu zaawansowanych algorytmów kryptograficznych (RSA i AES). Ostrzega przed próbą zmiany nazwy lub modyfikacji zaszyfrowanych plików lub użyciem narzędzi deszyfrujących innych firm, ponieważ spowoduje to, że plików nie będzie można odzyskać na stałe. Dodatkowo wiadomość informuje, że z sieci ofiary wykradziono bardzo wrażliwe dane i żąda nieokreślonego okupu, który wzrasta, jeśli kontakt nie zostanie nawiązany w ciągu 72 godzin. Ofiary mogą przetestować odszyfrowanie do trzech plików, zanim spełnią żądanie okupu. Jeśli okup nie zostanie zapłacony, atakujący grożą publicznym ujawnieniem lub sprzedażą skradzionych danych.

Atak z żądaniem okupu obiecuje odszyfrowanie trzech plików

Pełny tekst żądania okupu od ataku brzmi następująco:

TWÓJ OSOBISTY IDENTYFIKATOR:

SIEĆ TWOJEJ FIRMY ZOSTAŁA PENETROWANA
Wszystkie ważne pliki zostały zaszyfrowane!

Twoje pliki są bezpieczne! Tylko zmodyfikowane. (RSA+AES)

WSZELKIE PRÓBY PRZYWRÓCENIA PLIKÓW ZA POMOCĄ OPROGRAMOWANIA OSÓB TRZECICH
BĘDZIE TO TRWAŁE USZKODZIĆ.
NIE MODYFIKUJ ZASZYFROWANYCH PLIKÓW.
NIE ZMIENIAJ NAZW ZASZYFROWANYCH PLIKÓW.

Żadne oprogramowanie dostępne w Internecie nie może ci pomóc. Jesteśmy jedynymi, którzy mogą
rozwiązać swój problem.

Zebraliśmy wysoce poufne/dane osobowe. Te dane są obecnie przechowywane na
prywatny serwer. Ten serwer zostanie natychmiast zniszczony po dokonaniu płatności.
Jeśli zdecydujesz się nie płacić, udostępnimy Twoje dane publicznie lub odsprzedawcy.
Możesz więc spodziewać się, że Twoje dane będą publicznie dostępne w najbliższej przyszłości.

Szukamy tylko pieniędzy, a naszym celem nie jest niszczenie Twojej reputacji ani zapobieganie
Twoja firma nie działa.

Możesz przesłać nam 2-3 nieistotne pliki, a my odszyfrujemy je za darmo
aby udowodnić, że jesteśmy w stanie zwrócić Twoje pliki.

Skontaktuj się z nami w sprawie ceny i uzyskaj oprogramowanie deszyfrujące.

e-mail:
ithelp01@decorous.cyou
ithelp01@decorous.cyou

• Aby się z nami skontaktować, utwórz nowe bezpłatne konto e-mail na stronie: protonmail.com
  JEŚLI NIE SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU 72 GODZIN, CENA BĘDZIE WYŻSZA.

W jaki sposób zazwyczaj dystrybuowane jest oprogramowanie ransomware Like Attack?

Ransomware, takie jak Attack, jest zwykle dystrybuowane za pomocą różnych metod, w tym wiadomości e-mail typu phishing, zestawów exploitów, złośliwych reklam, inżynierii społecznej i ataków protokołu zdalnego pulpitu (RDP). Wiadomości phishingowe zwykle zawierają złośliwe załączniki lub łącza, które po kliknięciu pobierają i uruchamiają ransomware. Zestawy exploitów wykorzystują luki w oprogramowaniu lub systemach operacyjnych w celu dostarczenia i zainstalowania oprogramowania ransomware.

Malvertising polega na umieszczaniu złośliwego kodu w legalnych reklamach online, który po kliknięciu pobiera i instaluje ransomware. Taktyki socjotechniczne są wykorzystywane do nakłaniania użytkowników do pobrania i uruchomienia oprogramowania ransomware, podczas gdy ataki RDP polegają na brutalnym wymuszaniu danych uwierzytelniających RDP w celu uzyskania dostępu do systemu i wdrożenia oprogramowania ransomware. Niezależnie od zastosowanej metody, ważne jest, aby zachować ostrożność i stosować najlepsze praktyki, aby nie paść ofiarą ataków ransomware.