Genesis Ransomware to klon MedusaLocker

Nasz zespół zidentyfikował oprogramowanie ransomware Genesis, które należy do rodziny ransomware MedusaLocker. Ten typ złośliwego oprogramowania szyfruje pliki i żąda zapłaty za ich odszyfrowanie.

Podczas naszych testów oprogramowanie ransomware Genesis (MedusaLocker) szyfrowało pliki na naszej maszynie testowej i dodało rozszerzenie „.genesis15” do ich nazw plików (pamiętaj, że liczba może się różnić w zależności od wariantu programu). Na przykład plik pierwotnie nazwany „1.jpg” został przekształcony w „1.jpg.genesis15”, a plik „2.png” otrzymał nazwę „2.png.genesis15”.

Po zakończeniu procesu szyfrowania ransomware przesłał notatkę z żądaniem okupu o nazwie „HOW_TO_BACK_FILES.html”. Komunikat w pliku HTML wskazuje, że złośliwe oprogramowanie Genesis (MedusaLocker) atakuje w szczególności firmy, a nie indywidualnych użytkowników. Z notatki wynika, że sieć firmowa ofiary została naruszona, a zaszyfrowane pliki, zabezpieczone algorytmami kryptograficznymi RSA i AES, zawierały również bardzo wrażliwe dane pobrane z sieci.

Ofiara jest ostrzegana, że zmiana nazw plików, których dotyczy problem, dokonanie modyfikacji lub użycie oprogramowania do odzyskiwania innych firm może prowadzić do trwałej utraty danych. Aby rozpocząć proces odszyfrowywania, ofiara musi zapłacić okup. Choć w nocie nie podano dokładnej kwoty, wspomina się, że skontaktowanie się z atakującymi po 72 godzinach skutkować będzie zwiększeniem okupu.

Przed dokonaniem jakiejkolwiek płatności ofiara ma możliwość przetestowania odszyfrowania trzech plików. Niezastosowanie się do żądań cyberprzestępcy może doprowadzić do sprzedaży lub wycieku skradzionych danych.

List z żądaniem okupu Genesis kopiuje MedusaLocker

Pełny tekst notatki o okupie Genesis brzmi następująco:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

W jaki sposób oprogramowanie ransomware jest powszechnie dystrybuowane w Internecie?

Ransomware jest powszechnie rozpowszechniane w Internecie różnymi metodami, wykorzystując luki w zabezpieczeniach i niczego niepodejrzewających użytkowników. Niektóre typowe metody dystrybucji obejmują:

E-maile phishingowe: Cyberprzestępcy często wykorzystują e-maile phishingowe do dostarczania oprogramowania ransomware. Te e-maile mogą zawierać złośliwe załączniki lub łącza, które po kliknięciu pobierają i uruchamiają oprogramowanie ransomware w systemie ofiary. Celem e-maili jest nakłonienie użytkowników do otwarcia załącznika lub kliknięcia łącza, często podszywając się pod legalne podmioty lub pilne wiadomości.

Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić użytkowników na pobieranie plików przez dysk. W tym scenariuszu złośliwe oprogramowanie, w tym oprogramowanie ransomware, jest automatycznie pobierane i uruchamiane w systemie użytkownika bez jego wiedzy i zgody. Metoda ta jest często kojarzona ze stronami internetowymi zawierającymi złośliwą zawartość lub wykorzystującymi luki w zabezpieczeniach oprogramowania.

Złośliwe reklamy: złośliwe reklamy, czyli złośliwe reklamy, polegają na umieszczaniu złośliwego kodu w reklamach internetowych. Gdy użytkownicy klikają te reklamy, mogą nieświadomie pobrać i zainstalować oprogramowanie ransomware na swoich urządzeniach. Złośliwe reklamy mogą wystąpić w legalnych witrynach internetowych za pośrednictwem zainfekowanych sieci reklamowych.

Pobieranie dyskowe: Cyberprzestępcy mogą wykorzystywać luki w oprogramowaniu, przeglądarkach lub systemach operacyjnych, aby inicjować pobieranie dyskowe. Ta metoda umożliwia automatyczne pobieranie i uruchamianie oprogramowania ransomware, gdy użytkownik odwiedza zaatakowaną lub złośliwą witrynę internetową bez konieczności jakiejkolwiek interakcji.

Ataki Watering Hole: Podczas ataków Watering Hole hakerzy atakują strony internetowe odwiedzane przez określoną grupę lub branżę. Narażając te witryny za pomocą oprogramowania ransomware, osoby atakujące mogą zainfekować systemy osób lub organizacji odwiedzających te witryny, wykorzystując zaufanie powiązane z docelowymi witrynami.

Nośniki wymienne i zainfekowane oprogramowanie: oprogramowanie ransomware może rozprzestrzeniać się poprzez pobieranie zainfekowanego oprogramowania lub złośliwe pliki na nośnikach wymiennych, takich jak dyski USB. Użytkownicy mogą nieświadomie wprowadzić oprogramowanie ransomware do swoich systemów, pobierając zainfekowane oprogramowanie lub instalując zainfekowane urządzenia zewnętrzne.