Itlock Ransomware to nowy wariant MedusaLocker

Nasza analiza ujawniła, że Itlock jest jedną z odmian ransomware związanych z rodziną ransomware MedusaLocker. Przeglądając niedawno odkryte próbki, nasz zespół ekspertów natknął się na Itlock. To konkretne oprogramowanie ransomware szyfruje pliki i modyfikuje ich nazwy, dodając rozszerzenie ".itlock20" (liczba w rozszerzeniu może się różnić). Dodatkowo pozostawia żądanie okupu o nazwie „How_to_back_files.html”.

Aby zilustrować, jak Itlock zmienia nazwy plików, weźmy przykłady „1.jpg” i „2.png”. Gdy ransomware zacznie działać, pliki te zostaną przekształcone odpowiednio w „1.jpg.itlock20” i „2.png.itlock20”.

Żądanie okupu wyraźnie twierdzi, że wszystkie kluczowe pliki zostały zaszyfrowane przy użyciu złożonego szyfrowania. Ostrzega przed używaniem oprogramowania innych firm do przywracania plików, ponieważ takie próby mogą spowodować trwałe uszkodzenie. W notatce podkreślono, że tylko osoby atakujące są w stanie rozwiązać proces szyfrowania i deszyfrowania.

Zgodnie z żądaniem okupu hakerzy uzyskali dostęp do bardzo wrażliwych i osobistych danych, które są obecnie przechowywane na prywatnym serwerze. Hakerzy oświadczają, że zniszczą serwer po otrzymaniu zapłaty okupu. Jeśli jednak ofiara zdecyduje się nie płacić, atakujący zamierzają albo upublicznić dane, albo sprzedać je innym podmiotom.

Ponadto notatka wspomina, że osoby atakujące są skłonne zademonstrować swoją zdolność do odszyfrowania plików, oferując bezpłatne odszyfrowanie 2-3 niekrytycznych plików. Podają adresy e-mail, za pośrednictwem których ofiary mogą się z nimi skontaktować, aby zapytać o cenę okupu i uzyskać niezbędne oprogramowanie do odszyfrowania. W notatce podkreślono, że cena okupu wzrośnie, jeśli nie zostanie nawiązany kontakt w ciągu 72 godzin.

Na koniec notatka przedstawia opcję wykorzystania czatu Tora do bieżącej komunikacji z atakującymi, prawdopodobnie w celu zachowania anonimowości i ułatwienia dalszych negocjacji.

Notatka okupu Itlock kopiuje szablon MedusaLocker

Żądanie okupu używane przez ransomware Itlock wykorzystuje standardowy format MedusaLocker i brzmi następująco:

TWÓJ OSOBISTY IDENTYFIKATOR:

SIEĆ TWOJEJ FIRMY ZOSTAŁA Spenetrowana
Wszystkie ważne pliki zostały zaszyfrowane!

Twoje pliki są bezpieczne! Tylko zmodyfikowane. (RSA+AES)

JAKICHKOLWIEK PRÓB PRZYWRÓCENIA PLIKÓW ZA POMOCĄ OPROGRAMOWANIA OSÓB TRZECICH
BĘDZIE TO TRWAŁE USZKODZIĆ.
NIE MODYFIKUJ ZASZYFROWANYCH PLIKÓW.
NIE ZMIENIAJ NAZW ZASZYFROWANYCH PLIKÓW.

Żadne oprogramowanie dostępne w Internecie nie może ci pomóc. Jesteśmy jedynymi, którzy mogą
rozwiązać swój problem.

Zebraliśmy wysoce poufne/dane osobowe. Te dane są obecnie przechowywane na
prywatny serwer. Ten serwer zostanie natychmiast zniszczony po dokonaniu płatności.
Jeśli zdecydujesz się nie płacić, udostępnimy Twoje dane publicznie lub odsprzedawcy.
Możesz więc spodziewać się, że Twoje dane będą publicznie dostępne w najbliższej przyszłości.

Szukamy tylko pieniędzy, a naszym celem nie jest niszczenie Twojej reputacji ani zapobieganie
Twoja firma nie działa.

Możesz przesłać nam 2-3 nieistotne pliki, a my odszyfrujemy je za darmo
aby udowodnić, że jesteśmy w stanie zwrócić Twoje pliki.

Skontaktuj się z nami w sprawie ceny i uzyskaj oprogramowanie deszyfrujące.

e-mail:
ithelp07@securitymy.name
ithelp07@yousheltered.com
Aby się z nami skontaktować, utwórz nowe bezpłatne konto e-mail na stronie: protonmail.com
JEŚLI NIE SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU 72 GODZIN, CENA BĘDZIE WYŻSZA.

Tor-czat, aby zawsze być w kontakcie:

Jak możesz chronić swoje pliki przed oprogramowaniem ransomware, takim jak Itlock?

Aby chronić swoje pliki przed oprogramowaniem ransomware, takim jak Itlock, konieczne jest wdrożenie środków zapobiegawczych. Oto kilka niezbędnych kroków, aby chronić swoje pliki:

Twórz kopie zapasowe danych: regularnie twórz kopie zapasowe ważnych plików na zewnętrznym dysku twardym, w chmurze lub w niezawodnym rozwiązaniu do tworzenia kopii zapasowych. Upewnij się, że kopia zapasowa jest przechowywana w trybie offline lub w miejscu niedostępnym bezpośrednio z komputera. W ten sposób, nawet jeśli Twój system zostanie zainfekowany, możesz przywrócić pliki z czystej kopii zapasowej.

Aktualizuj oprogramowanie: szybko instaluj aktualizacje i poprawki oprogramowania dla systemu operacyjnego, programów antywirusowych, przeglądarek internetowych i innego oprogramowania. Aktualizacje oprogramowania często zawierają poprawki zabezpieczeń, które mogą usuwać luki w zabezpieczeniach wykorzystywane przez oprogramowanie ransomware.

Zachowaj ostrożność podczas korzystania z załączników i łączy do wiadomości e-mail: Zachowaj ostrożność podczas otwierania załączników do wiadomości e-mail, zwłaszcza z nieznanych lub podejrzanych źródeł. Unikaj klikania łączy w e-mailach lub wiadomościach, które wydają się podejrzane lub pochodzą od nieznanych nadawców. Sprawdź wiarygodność nadawcy przed interakcją z załącznikami lub linkami.

Używaj solidnego oprogramowania zabezpieczającego: zainstaluj w swoim systemie renomowane oprogramowanie antywirusowe lub chroniące przed złośliwym oprogramowaniem i aktualizuj je. Te narzędzia bezpieczeństwa mogą wykrywać i blokować zagrożenia ransomware, zapewniając dodatkową warstwę ochrony.

Włącz ochronę zapory: Aktywuj zaporę na swoim komputerze i w sieci, aby monitorować połączenia przychodzące i wychodzące. Zapora ogniowa pomaga blokować nieautoryzowany dostęp i może zapobiegać komunikowaniu się oprogramowania ransomware z serwerami dowodzenia i kontroli.

Ćwicz bezpieczne nawyki przeglądania: Unikaj odwiedzania potencjalnie złośliwych stron internetowych lub pobierania plików z niezaufanych źródeł. Uważaj na wyskakujące reklamy i uważaj na odwiedzane strony internetowe, upewniając się, że mają one bezpieczne połączenia (https://) i dobrą reputację.