Napraw ransomware opiera się na MedusaLocker

Przeglądając nowo odkryte próbki plików, natknęliśmy się na złośliwe oprogramowanie o nazwie Repair, które należy do rodziny ransomware MedusaLocker. Naprawa działa jak ransomware szyfrujący dane.

Podczas naszej analizy zaobserwowaliśmy, że program szyfrował pliki i dodał do ich nazw rozszerzenie „.repair”. Na przykład plik pierwotnie nazwany „1.jpg” pojawił się jako „1.jpg.repair”, „2.png” jako „2.png.repair” i tak dalej.

Po zakończeniu procesu szyfrowania ransomware wygenerował plik HTML zatytułowany „How_to_back_files.html” zawierający notatkę z żądaniem okupu. Oprócz żądania zapłaty za odszyfrowanie, to oprogramowanie ransomware stosuje taktykę podwójnego wymuszenia, grożąc ofiarom wyciekami danych.

Notatka z żądaniem okupu wyraźnie wskazuje, że celem narzędzia Repair są przede wszystkim firmy, a nie indywidualni użytkownicy. Informuje, że pliki w sieci firmowej zostały zaszyfrowane i wydobyte zostały dane poufne lub osobiste.

W notatce podkreślono, że tylko osoby atakujące mają możliwość odzyskania zaszyfrowanych plików. Wszelkie próby zmiany nazwy, modyfikacji lub ręcznego odszyfrowania plików spowodują nieodwracalne uszkodzenie danych.

Aby odszyfrować pliki, ofiara musi zapłacić okup z ostrzeżeniem, że odmowa zastosowania się do tego spowoduje wyciek lub sprzedaż treści. Brak nawiązania kontaktu z cyberprzestępcami w ciągu 72 godzin doprowadzi do zwiększenia kwoty okupu. Przed spełnieniem tych żądań ofiara może przetestować odszyfrowanie maksymalnie trzech nieistotnych plików.

Napraw żądanie okupu kopiuje szablon MedusaLocker

Pełny tekst żądania okupu za naprawę brzmi następująco:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Jakie są najczęstsze wektory dystrybucji oprogramowania ransomware?

Ransomware może infiltrować systemy różnymi wektorami dystrybucji, ale niektóre z najczęstszych obejmują:

E-maile phishingowe: E-maile phishingowe są główną metodą dystrybucji oprogramowania ransomware. Osoby atakujące wysyłają zwodnicze e-maile zawierające złośliwe załączniki lub łącza, często podszywając się pod legalne podmioty lub organizacje. Kliknięcie tych załączników lub łączy może spowodować pobranie i wykonanie oprogramowania ransomware.

Złośliwe witryny internetowe: oprogramowanie ransomware może być dystrybuowane za pośrednictwem zainfekowanych lub złośliwych witryn internetowych. Odwiedzanie takich witryn lub klikanie złośliwych reklam może prowadzić do automatycznego pobrania i zainstalowania oprogramowania ransomware w systemie ofiary.

Zestawy exploitów: Zestawy exploitów to zestawy narzędzi zawierające wstępnie napisany kod zaprojektowany w celu wykorzystania luk w zabezpieczeniach oprogramowania lub przeglądarek internetowych. Cyberprzestępcy wykorzystują zestawy exploitów do automatycznego identyfikowania i wykorzystywania luk w zabezpieczeniach systemów, co pozwala im dostarczać oprogramowanie ransomware bez interakcji użytkownika.

Luki w oprogramowaniu: Twórcy ransomware często wykorzystują znane luki w systemach operacyjnych lub aplikacjach, aby uzyskać nieautoryzowany dostęp do systemów. Jeśli nie zainstalujesz poprawek i aktualizacji zabezpieczeń, systemy będą podatne na ataki oprogramowania ransomware.

Pobieranie dyskowe: Pobieranie dyskowe ma miejsce, gdy oprogramowanie ransomware jest pobierane i instalowane w systemie ofiary bez jej wiedzy i zgody. Dzieje się tak często podczas odwiedzania zainfekowanych witryn internetowych lub klikania złośliwych łączy.

Taktyki inżynierii społecznej: dystrybutorzy oprogramowania ransomware często stosują taktykę inżynierii społecznej, aby nakłonić użytkowników do wykonania złośliwego kodu. Może to obejmować nakłanianie użytkowników do pobierania i uruchamiania złośliwego oprogramowania za pomocą zwodniczych reklam, fałszywych aktualizacji oprogramowania lub fałszywych ofert.

Aby ograniczyć ryzyko infekcji oprogramowaniem ransomware, użytkownicy i organizacje powinni wdrożyć solidne środki cyberbezpieczeństwa, takie jak regularne aktualizacje oprogramowania, szkolenia pracowników w zakresie identyfikowania wiadomości e-mail phishingowych oraz korzystanie z renomowanego oprogramowania antywirusowego i zapór sieciowych. Ponadto regularne tworzenie kopii zapasowych krytycznych danych jest niezbędne do odzyskania danych w przypadku ataku oprogramowania ransomware.