Protect (MedusaLocker) Ransomware próbuje zaszyfrować dane firmowe
Podczas badania ostatnich przesłanych plików nasz zespół dokonał wyjątkowego odkrycia: pojawił się wariant oprogramowania ransomware o nazwie Protect, należący do rodziny ransomware MedusaLocker. Podobnie jak w przypadku innych typów ransomware, głównym celem Protect jest szyfrowanie danych i żądanie okupu za ich odszyfrowanie.
Aby zbadać zachowanie programu Protect, wykonaliśmy próbkę na naszej maszynie testowej, co skutkowało zaszyfrowaniem plików. Warto zauważyć, że oprogramowanie ransomware dodało rozszerzenie „.protect3” do oryginalnych nazw plików. Na przykład plik o nazwie „1.jpg” został przekształcony w „1.jpg.protect3”, a „2.png” w „2.png.protect3” i tak dalej. Warto wspomnieć, że wartość liczbowa w rozszerzeniu może się różnić w zależności od konkretnego wariantu ransomware.
Po zakończeniu procesu szyfrowania Protect wygenerował żądanie okupu zatytułowane „How_to_back_files.html”. Treść notatki wskazuje, że oprogramowanie ransomware Protect (MedusaLocker) wymierzone jest w firmy, a nie w indywidualnych użytkowników domowych.
Żądanie okupu informuje ofiarę, że jej sieć firmowa została naruszona, a wszystkie krytyczne pliki zostały zaszyfrowane przy użyciu algorytmów kryptograficznych RSA i AES. Wyraźnie ostrzega przed zmianą nazwy, modyfikacją lub próbą odszyfrowania zablokowanych danych, ponieważ takie działania uczyniłyby je trwale niedostępnymi. Notatka podkreśla, że tylko osoby atakujące mają możliwość przywrócenia zainfekowanych plików.
Ponadto żądanie okupu deklaruje, że z zaatakowanej sieci zostały wydobyte poufne i osobiste informacje. Ofiara jest proszona o skontaktowanie się z cyberprzestępcami w ciągu 72 godzin i przesłanie 2 do 3 nieistotnych plików w celu przetestowania procesu deszyfrowania. Niezastosowanie się do żądań okupu spowoduje, że sprawcy ujawnią skradzione dane online.
Protect Ransom Note obiecuje odszyfrowanie dwóch plików
Pełny tekst żądania okupu Protect brzmi następująco:
TWÓJ OSOBISTY IDENTYFIKATOR:
SIEĆ TWOJEJ FIRMY ZOSTAŁA Spenetrowana
Wszystkie ważne pliki zostały zaszyfrowane!Twoje pliki są bezpieczne! Tylko zmodyfikowane. (RSA+AES)
JAKICHKOLWIEK PRÓB PRZYWRÓCENIA PLIKÓW ZA POMOCĄ OPROGRAMOWANIA OSÓB TRZECICH
BĘDZIE TO TRWAŁE USZKODZIĆ.
NIE MODYFIKUJ ZASZYFROWANYCH PLIKÓW.
NIE ZMIENIAJ NAZW ZASZYFROWANYCH PLIKÓW.Żadne oprogramowanie dostępne w Internecie nie może ci pomóc. Jesteśmy jedynymi, którzy mogą
rozwiązać swój problem.Zebraliśmy wysoce poufne/dane osobowe. Te dane są obecnie przechowywane na
prywatny serwer. Ten serwer zostanie natychmiast zniszczony po dokonaniu płatności.
Jeśli zdecydujesz się nie płacić, udostępnimy Twoje dane publicznie lub odsprzedawcy.
Możesz więc spodziewać się, że Twoje dane będą publicznie dostępne w najbliższej przyszłości.Szukamy tylko pieniędzy, a naszym celem nie jest niszczenie Twojej reputacji ani zapobieganie
Twoja firma nie działa.Możesz przesłać nam 2-3 nieistotne pliki, a my odszyfrujemy je za darmo
aby udowodnić, że jesteśmy w stanie zwrócić Twoje pliki.Skontaktuj się z nami w sprawie ceny i uzyskaj oprogramowanie deszyfrujące.
e-mail:
ithelp01@securitymy.name
ithelp01@yousheltered.com
- Aby się z nami skontaktować, utwórz nowe bezpłatne konto e-mail na stronie: protonmail.com
JEŚLI NIE SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU 72 GODZIN, CENA BĘDZIE WYŻSZA.- Tor-czat, aby zawsze być w kontakcie:
Jak możesz chronić swoje cenne dane przed oprogramowaniem ransomware?
Ochrona cennych danych przed oprogramowaniem ransomware wymaga proaktywnego i wielowarstwowego podejścia. Oto kilka kroków, które możesz podjąć, aby wzmocnić swoją obronę przed atakami ransomware:
- Kopie zapasowe danych: Regularnie twórz kopie zapasowe ważnych plików i danych na urządzeniu zewnętrznym lub w chmurze. Upewnij się, że kopie zapasowe są w trybie offline lub są przechowywane w oddzielnej sieci, aby zapobiec ich naruszeniu w wyniku ataku. Sprawdź integralność swoich kopii zapasowych i przetestuj proces przywracania, aby upewnić się, że jest skuteczny.
- Aktualizuj oprogramowanie: dbaj o aktualność systemu operacyjnego, aplikacji i oprogramowania zabezpieczającego. W miarę możliwości włączaj automatyczne aktualizacje, aby mieć pewność, że masz najnowsze poprawki i poprawki zabezpieczeń, ponieważ często usuwają one luki w zabezpieczeniach, które może wykorzystać oprogramowanie ransomware.
- Korzystaj z solidnego oprogramowania zabezpieczającego: zainstaluj renomowane oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem na wszystkich swoich urządzeniach. Włącz skanowanie w czasie rzeczywistym i automatyczne aktualizacje, aby wykrywać i blokować zagrożenia ransomware. Rozważ użycie oprogramowania, które oferuje wykrywanie oparte na zachowaniu w celu identyfikacji podejrzanych działań.
- Zachowaj ostrożność podczas wysyłania wiadomości e-mail i pobierania: Zachowaj ostrożność podczas otwierania załączników wiadomości e-mail lub klikania łączy, zwłaszcza pochodzących od nieznanych nadawców lub podejrzanych wiadomości e-mail. Unikaj pobierania plików z niezaufanych źródeł lub odwiedzania ryzykownych witryn, które mogą zawierać złośliwe treści. Zaimplementuj rozwiązania do filtrowania wiadomości e-mail i filtrowania stron internetowych, aby blokować znane złośliwe załączniki i adresy URL.
- Włącz zaporę ogniową i systemy wykrywania włamań: Włącz zapory sieciowe i urządzenia w celu odfiltrowania złośliwego ruchu sieciowego. Ponadto rozważ wdrożenie systemów wykrywania i zapobiegania włamaniom (IDPS) w celu monitorowania i blokowania prób nieautoryzowanego dostępu.
- Wyłącz makra i zawartość aktywną: Wyłącz makra w oprogramowaniu biurowym, takim jak Microsoft Office, chyba że są one wymagane do pracy. Zachowaj ostrożność podczas włączania aktywnych treści, takich jak makra lub JavaScript, w dokumentach lub witrynach internetowych, ponieważ mogą one zostać wykorzystane do dostarczania ładunków ransomware.
- Używaj silnych, unikalnych haseł: stosuj silne, unikalne hasła do wszystkich swoich kont, w tym do systemu operacyjnego, aplikacji i usług online. Rozważ użycie menedżera haseł do bezpiecznego przechowywania i generowania złożonych haseł.
