Reparar Ransomware é baseado em MedusaLocker

Ao examinar amostras de arquivos recém-descobertos, encontramos um software malicioso chamado Repair, que pertence à família de ransomware MedusaLocker. O reparo funciona como um ransomware que criptografa dados.

Durante a nossa análise, observámos que o programa encriptou ficheiros e adicionou uma extensão ".repair" aos seus nomes de ficheiro. Por exemplo, um arquivo originalmente denominado "1.jpg" apareceu como "1.jpg.repair", "2.png" como "2.png.repair" e assim por diante.

Assim que o processo de criptografia foi concluído, o ransomware gerou um arquivo HTML intitulado “How_to_back_files.html”, contendo a nota de resgate. Além de exigir pagamento pela desencriptação, este ransomware emprega táticas de dupla extorsão, ameaçando as vítimas com fugas de dados.

A nota de resgate indica claramente que o Repair visa principalmente empresas, e não usuários individuais. Informa que os arquivos da rede da empresa foram criptografados e foram extraídos dados confidenciais ou pessoais.

A nota enfatiza que apenas os invasores possuem a capacidade de restaurar os arquivos criptografados. Qualquer tentativa de renomear, modificar ou descriptografar manualmente os arquivos resultará em corrupção irreversível dos dados.

Para descriptografar os arquivos, a vítima é obrigada a pagar um resgate, com um aviso de que a recusa em cumprir resultará no vazamento ou venda do conteúdo. A falha em estabelecer contato com os cibercriminosos dentro de 72 horas levará a um aumento no valor do resgate. Antes de atender a essas demandas, a vítima pode testar a descriptografia de até três arquivos sem importância.

Reparar cópias de notas de resgate do modelo MedusaLocker

O texto completo da nota de resgate de reparo é o seguinte:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Quais são os vetores de distribuição mais comuns de ransomware?

O ransomware pode infiltrar-se nos sistemas através de vários vetores de distribuição, mas alguns dos mais comuns incluem:

E-mails de phishing: e-mails de phishing são o principal método de distribuição de ransomware. Os invasores enviam e-mails enganosos contendo anexos ou links maliciosos, muitas vezes se passando por entidades ou organizações legítimas. Clicar nesses anexos ou links pode acionar o download e a execução de ransomware.

Sites maliciosos: o ransomware pode ser distribuído por meio de sites comprometidos ou maliciosos. Visitar esses sites ou clicar em anúncios maliciosos pode levar ao download e instalação automáticos de ransomware no sistema da vítima.

Kits de exploração: kits de exploração são kits de ferramentas que contêm código pré-escrito projetado para explorar vulnerabilidades em software ou navegadores da web. Os cibercriminosos usam kits de exploração para identificar e explorar automaticamente vulnerabilidades em sistemas, permitindo-lhes entregar cargas de ransomware sem interação do usuário.

Vulnerabilidades de software: Os criadores de ransomware geralmente exploram vulnerabilidades conhecidas em sistemas operacionais ou aplicativos de software para obter acesso não autorizado aos sistemas. A falha na instalação de patches e atualizações de segurança deixa os sistemas suscetíveis à exploração por ransomware.

Downloads drive-by: Os downloads drive-by ocorrem quando o ransomware é baixado e instalado no sistema da vítima sem seu conhecimento ou consentimento. Isso geralmente acontece ao visitar sites comprometidos ou clicar em links maliciosos.

Táticas de engenharia social: Os distribuidores de ransomware costumam usar táticas de engenharia social para induzir os usuários a executar códigos maliciosos. Isso pode incluir incentivar os usuários a baixar e executar software malicioso por meio de anúncios enganosos, atualizações de software falsas ou ofertas fraudulentas.

Para mitigar o risco de infecções por ransomware, os usuários e as organizações devem implementar medidas robustas de segurança cibernética, como atualizações regulares de software, treinamento de funcionários na identificação de e-mails de phishing e o uso de software antivírus e firewalls confiáveis. Além disso, manter backups regulares de dados críticos é essencial para a recuperação no caso de um ataque de ransomware.