Genesis Ransomware é um clone do MedusaLocker

Nossa equipe identificou o ransomware Genesis, que pertence à família de ransomware MedusaLocker. Este tipo de software malicioso encripta ficheiros e exige pagamento pela sua desencriptação.

Durante nossos testes, o ransomware Genesis (MedusaLocker) criptografou arquivos em nossa máquina de teste e adicionou uma extensão “.genesis15” aos seus nomes de arquivo (observe que o número pode variar dependendo da variante do programa). Por exemplo, um arquivo originalmente chamado “1.jpg” foi transformado em “1.jpg.genesis15” e “2.png” tornou-se “2.png.genesis15”.

Ao concluir o processo de criptografia, o ransomware depositou uma nota de resgate chamada “HOW_TO_BACK_FILES.html”. A mensagem no arquivo HTML indica que o malware Genesis (MedusaLocker) tem como alvo específico empresas, e não usuários individuais. Segundo a nota, a rede da empresa da vítima foi comprometida, e os arquivos criptografados, protegidos por algoritmos criptográficos RSA e AES, também tiveram dados altamente sensíveis extraídos da rede.

A vítima é avisada de que alterar os nomes dos ficheiros afetados, fazer modificações ou usar software de recuperação de terceiros pode levar à perda permanente de dados. Para iniciar o processo de descriptografia, a vítima é obrigada a pagar um resgate. Embora o valor exato não esteja especificado na nota, é mencionado que entrar em contato com os invasores após 72 horas resultará em um aumento no resgate.

Antes de efetuar qualquer pagamento, a vítima tem a opção de testar a descriptografia em três arquivos. O não cumprimento das exigências do cibercriminoso pode fazer com que os dados roubados sejam vendidos ou vazados.

Nota de resgate do Genesis copia MedusaLocker

O texto completo da nota de resgate do Gênesis é o seguinte:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Como o Ransomware é comumente distribuído online?

O ransomware é comumente distribuído online por meio de vários métodos, explorando vulnerabilidades e usuários desavisados. Alguns métodos de distribuição comuns incluem:

E-mails de phishing: os cibercriminosos costumam usar e-mails de phishing para entregar ransomware. Esses e-mails podem conter anexos ou links maliciosos que, quando clicados, baixam e executam o ransomware no sistema da vítima. Os e-mails são projetados para induzir os usuários a abrir o anexo ou clicar no link, muitas vezes fazendo-se passar por entidades legítimas ou mensagens urgentes.

Sites maliciosos: visitar sites comprometidos ou maliciosos pode expor os usuários a downloads drive-by. Neste cenário, o malware, incluindo o ransomware, é automaticamente baixado e executado no sistema do usuário sem o seu conhecimento ou consentimento. Esse método costuma estar associado a sites que hospedam conteúdo malicioso ou exploram vulnerabilidades de software.

Malvertising: Publicidade maliciosa, ou malvertising, envolve a colocação de código malicioso em anúncios online. Quando os usuários clicam nesses anúncios, eles podem baixar e instalar ransomware sem saber em seus dispositivos. A malvertising pode ocorrer em sites legítimos por meio de redes de anúncios comprometidas.

Downloads drive-by: os cibercriminosos podem explorar vulnerabilidades em software, navegadores ou sistemas operacionais para iniciar downloads drive-by. Este método permite que o ransomware seja baixado e executado automaticamente quando um usuário visita um site comprometido ou malicioso sem qualquer interação necessária.

Ataques Watering Hole: Nos ataques watering hole, os hackers têm como alvo sites frequentados por um grupo ou setor específico. Ao comprometer esses sites com ransomware, os invasores podem infectar os sistemas de indivíduos ou organizações que visitam esses sites, aproveitando a confiança associada aos sites visados.

Mídia removível e software infectado: o ransomware pode se espalhar por meio de downloads de software infectado ou arquivos maliciosos em mídia removível, como unidades USB. Os usuários podem introduzir ransomware em seus sistemas sem saber, baixando software comprometido ou inserindo dispositivos externos infectados.