AttackFiles Ransomware pertence à família MedusaLocker

Durante a análise de novos arquivos, nossa equipe de pesquisa encontrou o programa malicioso AttackFiles, associado à família de ransomware MedusaLocker. Este tipo de software é criado para criptografar arquivos, exigindo resgate pela sua descriptografia.

Quando executamos uma amostra de AttackFiles em nosso ambiente de teste, ele criptografou os arquivos e anexou a extensão “.attackfiles” aos seus nomes. Por exemplo, um arquivo chamado "1.jpg" se tornaria "1.jpg.attackfiles" e "2.png" se transformaria em "2.png.attackfiles" e assim por diante.

Ao concluir o processo de criptografia, este ransomware gerou uma nota de resgate intitulada "How_to_back_files.html". A nota refere-se ao sistema infectado como uma “rede corporativa”, indicando que os alvos não são usuários domésticos individuais. Na mensagem de resgate, o AttackFiles afirma que a rede da empresa da vítima foi violada, os arquivos foram criptografados usando algoritmos criptográficos RSA e AES e dados confidenciais e pessoais foram roubados.

Para recuperar os arquivos criptografados, a vítima é instruída a pagar um resgate. Se a vítima se recusar a obedecer, o conteúdo roubado será vazado ou vendido. Antes de cumprir as exigências de resgate, a capacidade de descriptografia pode ser testada em 2 a 3 arquivos gratuitamente. A nota também alerta contra ações que possam resultar na perda permanente de dados.

Nota de resgate completa do AttackFiles

O texto completo da nota de resgate do AttackFiles é o seguinte:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem.

We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
crypt2024_tm123@outlook.com
crypt2024_tm123@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Como o ransomware é geralmente distribuído online?

O ransomware é normalmente distribuído online através de vários métodos, incluindo:

E-mails de phishing: os invasores enviam e-mails com anexos ou links maliciosos, disfarçados de mensagens legítimas de fontes confiáveis, como bancos, empresas de transporte ou agências governamentais. Depois que o anexo é aberto ou o link é clicado, o ransomware é baixado no sistema da vítima.

Malvertising: Anúncios maliciosos (malvertisements) em sites legítimos podem conter scripts que redirecionam os usuários para sites que hospedam ransomware ou baixam ransomware diretamente no dispositivo do usuário sem o seu conhecimento.

Kits de exploração: são pacotes de software pré-empacotados que contêm vários exploits direcionados a vulnerabilidades em software ou sistemas operacionais desatualizados. Quando um usuário visita um site comprometido, o kit de exploração verifica seu sistema em busca de vulnerabilidades e entrega cargas de ransomware.

Ataques de protocolo de área de trabalho remota (RDP): os invasores exploram senhas fracas ou padrão em serviços RDP para obter acesso não autorizado aos sistemas. Uma vez lá dentro, eles implantam ransomware diretamente na rede.

Downloads drive-by: Isso ocorre quando um usuário visita um site comprometido ou malicioso e o malware é automaticamente baixado e instalado em seu sistema sem seu consentimento ou conhecimento.

Compartilhamento de arquivos ponto a ponto (P2P): O ransomware pode ser distribuído por meio de software pirata, jogos ou arquivos de mídia compartilhados em redes P2P. Os invasores podem disfarçar o ransomware como arquivos legítimos para induzir os usuários a baixá-los e executá-los.

Links maliciosos em aplicativos de bate-papo e mídias sociais: os invasores podem distribuir ransomware por meio de links compartilhados em aplicativos de bate-papo ou plataformas de mídia social, induzindo os usuários a clicar neles com mensagens ou ofertas atraentes.

Ataques Watering Hole: Neste método, os invasores comprometem sites que são frequentemente visitados por seu público-alvo. Quando os usuários visitam esses sites comprometidos, eles são expostos inadvertidamente ao ransomware.

Estes são apenas alguns exemplos de como o ransomware pode ser distribuído online. Os invasores estão constantemente evoluindo suas táticas para contornar medidas de segurança e explorar vulnerabilidades, tornando crucial que usuários e organizações permaneçam vigilantes e empreguem práticas robustas de segurança cibernética.