Oprogramowanie ransomware Meduza (MedusaLocker).

Meduza, czyli rodzaj ransomware z rodziny MedusaLocker, został zidentyfikowany podczas naszej analizy próbek złośliwego oprogramowania. Jego podstawową funkcją jest szyfrowanie plików. Dodaje do nazw plików określone rozszerzenie (takie jak „.meduza24”), jednocześnie generując żądanie okupu o nazwie „How_to_back_files.html”.

Dla przykładu, gdy Meduza szyfruje pliki, zmienia ich nazwy w następujący sposób: „1.jpg” zmienia się na „1.jpg.meduza24”, „2.png” zmienia się na „2.png.meduza24” i tak dalej.

Notatka z żądaniem okupu informuje ofiarę, że jej najważniejsze pliki zostały zaszyfrowane przy użyciu metod szyfrowania RSA i AES. Zdecydowanie odradza się wszelkie próby odzyskania tych plików przy użyciu oprogramowania innych firm, ponieważ może to prowadzić do trwałego uszkodzenia. Odradza się także modyfikowanie lub zmianę nazwy zaszyfrowanych plików.

Zgodnie z żądaniem okupu żadne oprogramowanie dostępne w Internecie nie może pomóc w odszyfrowaniu, a jedynym rozwiązaniem są osoby atakujące. Twierdzą, że zebrali wysoce poufne i osobiste dane, przechowywane na prywatnym serwerze, które zostaną usunięte po otrzymaniu płatności. Brak płatności skutkowałby upublicznieniem lub sprzedażą danych.

W notatce podkreślono, że motywacją atakujących jest wyłącznie zysk finansowy i nie mają zamiaru szkodzić reputacji odbiorcy ani jego działalności biznesowej. Aby zademonstrować swoją zdolność do odszyfrowania plików, na żądanie oferują bezpłatne odszyfrowanie 2-3 mniej ważnych plików.

Dane kontaktowe umożliwiające negocjowanie kwoty okupu i uzyskanie oprogramowania deszyfrującego są dostarczane za pośrednictwem dwóch adresów e-mail (ithelp01@securitymy.name i ithelp01@yousheltered.com). W notatce zalecono również utworzenie nowego, bezpłatnego konta e-mail na stronie protonmail.com w celu nawiązania kontaktu.

Po upływie 72 godzin kwota okupu wzrasta, jeśli ofiara nie skontaktuje się z napastnikami. Dodatkowo znajduje się odniesienie do Tor-chata w celu bieżącej komunikacji.

Pełna treść listu z żądaniem okupu Meduzy

Pełny tekst żądania okupu Meduzy brzmi następująco:

TWÓJ IDENTYFIKATOR OSOBISTY:

SIEĆ TWOJEJ FIRMY ZOSTAŁA PENETROWANA
Wszystkie Twoje ważne pliki zostały zaszyfrowane!

Twoje pliki są bezpieczne! Tylko zmodyfikowane. (RSA+AES)

JAKIEKOLWIEK PRÓBA PRZYWRACANIA PLIKÓW ZA POMOCĄ OPROGRAMOWANIA STRON TRZECICH
ZNISZCZY TO TRWALE.
NIE MODYFIKUJ ZASZYFROWANYCH PLIKÓW.
NIE ZMIENIAJ NAZW ZASZYFROWANYCH PLIKÓW.

Żadne oprogramowanie dostępne w Internecie nie może Ci pomóc. Tylko my możemy to zrobić
rozwiązać swój problem.

Zebraliśmy dane wysoce poufne/osobowe. Dane te są obecnie przechowywane na
prywatny serwer. Serwer ten zostanie natychmiast zniszczony po dokonaniu płatności.
Jeśli zdecydujesz się nie płacić, udostępnimy Twoje dane społeczeństwu lub sprzedawcy.
Możesz więc spodziewać się, że Twoje dane będą w najbliższej przyszłości publicznie dostępne.

Szukamy tylko pieniędzy i naszym celem nie jest niszczenie Twojej reputacji ani zapobieganie
od prowadzenia Twojej firmy.

Możesz przesłać nam 2-3 nieistotne pliki, a my je odszyfrujemy za darmo
aby udowodnić, że jesteśmy w stanie zwrócić Twoje pliki.

Skontaktuj się z nami, aby uzyskać cenę i uzyskać oprogramowanie deszyfrujące.

e-mail:
ithelp01@securitymy.name
ithelp01@yousheltered.com
Aby się z nami skontaktować, utwórz nowe bezpłatne konto e-mail na stronie: protonmail.com
JEŻELI NIE SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU 72 GODZIN, CENA BĘDZIE WYŻSZA.

Czat Tor, aby być zawsze w kontakcie:

W jaki sposób oprogramowanie ransomware może zainfekować Twój komputer?

Oprogramowanie ransomware może zainfekować komputer na różne sposoby i często wykorzystuje taktykę socjotechniki, aby nakłonić użytkowników do zainicjowania infekcji. Oto kilka typowych sposobów, w jakie oprogramowanie ransomware może zainfekować Twój komputer:

  • Złośliwe załączniki do wiadomości e-mail: Jedną z najpopularniejszych metod są wiadomości phishingowe. Atakujący wysyłają e-maile, które wyglądają na wiarygodne i mogą zawierać załączniki, takie jak pliki PDF lub dokumenty pakietu Office, z osadzonym złośliwym kodem. Po otwarciu załącznika następuje wykonanie ransomware.
  • Złośliwe linki: wiadomości e-mail phishingowe mogą również zawierać łącza do złośliwych witryn internetowych. Kliknięcie tych łączy może prowadzić do pobierania plików typu drive-by, podczas którego oprogramowanie ransomware jest automatycznie pobierane i uruchamiane bez Twojej wiedzy.
  • Fałszywe aktualizacje oprogramowania: osoby atakujące mogą tworzyć fałszywe powiadomienia o aktualizacjach oprogramowania lub wyskakujące okienka imitujące legalne aktualizacje systemu operacyjnego lub oprogramowania. Jeśli pobierzesz i zainstalujesz te fałszywe aktualizacje, możesz nieświadomie zainstalować oprogramowanie ransomware.
  • Zainfekowane oprogramowanie: czasami atakujący atakują legalne instalatory oprogramowania i wprowadzają do nich oprogramowanie ransomware. Pobierając i instalując program, który wydaje się bezpieczny, nieumyślnie instalujesz oprogramowanie ransomware.
  • Złośliwe reklamy: złośliwe reklamy, zwane złośliwymi reklamami, polegają na tym, że cyberprzestępcy umieszczają zainfekowane reklamy na legalnych stronach internetowych. Kliknięcie tych reklam może przekierować Cię do witryn rozpowszechniających oprogramowanie ransomware.
  • Ataki na protokół Remote Desktop Protocol (RDP): Jeśli protokół RDP jest niewłaściwie zabezpieczony, osoby atakujące mogą wykorzystać luki w zabezpieczeniach, aby uzyskać zdalny dostęp do komputera. Po wejściu do środka mogą zainstalować oprogramowanie ransomware.
  • Wykorzystywanie luk w zabezpieczeniach: Ransomware może wykorzystywać luki w zabezpieczeniach oprogramowania w systemie operacyjnym lub aplikacjach. Aktualizowanie oprogramowania za pomocą najnowszych poprawek zabezpieczeń pomaga chronić się przed tą metodą.
  • Inżynieria społeczna: osoby atakujące mogą podszywać się pod zaufane podmioty, takie jak pomoc techniczna lub współpracownicy, aby nakłonić Cię do pobrania i wykonania plików zawierających oprogramowanie ransomware.

Do Zaib
September 28, 2023
Ransomware
Polski
September 28, 2023
Ransomware

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

5 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.