Программа-вымогатель AttackFiles принадлежит семейству MedusaLocker

В ходе проверки новых файлов наша исследовательская группа наткнулась на вредоносную программу AttackFiles, связанную с семейством шифровальщиков MedusaLocker. Этот тип программного обеспечения предназначен для шифрования файлов с требованием выкупа за их расшифровку.

Когда мы запускали образец AttackFiles в нашей тестовой среде, он шифровал файлы и добавлял к их именам расширение «.attackfiles». Например, файл с именем «1.jpg» станет «1.jpg.attackfiles», а «2.png» превратится в «2.png.attackfiles» и так далее.

После завершения процесса шифрования эта программа-вымогатель создала записку с требованием выкупа под названием «How_to_back_files.html». В примечании зараженная система называется «корпоративной сетью», что указывает на то, что целью атаки не являются отдельные домашние пользователи. В сообщении с требованием выкупа AttackFiles утверждает, что сеть компании жертвы была взломана, файлы были зашифрованы с использованием криптографических алгоритмов RSA и AES, а конфиденциальные и личные данные были украдены.

Чтобы получить зашифрованные файлы, жертве предлагается заплатить выкуп. Если жертва откажется подчиниться, украденный контент будет либо раскрыт, либо продан. Прежде чем выполнить требования о выкупе, возможность расшифровки можно бесплатно протестировать на 2-3 файлах. В примечании также предостерегается от действий, которые могут привести к безвозвратной потере данных.

Записка о выкупе AttackFiles полностью

Полный текст записки о выкупе AttackFiles выглядит следующим образом:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to solve your problem.

We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
crypt2024_tm123@outlook.com
crypt2024_tm123@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Как программы-вымогатели обычно распространяются в Интернете?

Программы-вымогатели обычно распространяются в Интернете различными способами, в том числе:

Фишинговые электронные письма. Злоумышленники отправляют электронные письма с вредоносными вложениями или ссылками, замаскированными под законные сообщения из надежных источников, таких как банки, транспортные компании или государственные учреждения. После открытия вложения или перехода по ссылке программа-вымогатель загружается в систему жертвы.

Вредоносная реклама. Вредоносная реклама (вредоносная реклама) на законных веб-сайтах может содержать сценарии, которые перенаправляют пользователей на веб-сайты, на которых размещены программы-вымогатели, или напрямую загружают программы-вымогатели на устройство пользователя без их ведома.

Наборы эксплойтов: это предварительно упакованные пакеты программного обеспечения, которые содержат различные эксплойты, нацеленные на уязвимости в устаревшем программном обеспечении или операционных системах. Когда пользователь посещает взломанный веб-сайт, набор эксплойтов сканирует его систему на наличие уязвимостей и доставляет полезные данные программы-вымогателя.

Атаки на протокол удаленного рабочего стола (RDP). Злоумышленники используют слабые пароли или пароли по умолчанию в службах RDP для получения несанкционированного доступа к системам. Оказавшись внутри, они внедряют программу-вымогатель прямо в сеть.

Попутные загрузки: это происходит, когда пользователь посещает взломанный или вредоносный веб-сайт, и вредоносное ПО автоматически загружается и устанавливается в его систему без его согласия или ведома.

Одноранговый обмен файлами (P2P): программы-вымогатели могут распространяться через пиратское программное обеспечение, игры или мультимедийные файлы, распространяемые в сетях P2P. Злоумышленники могут замаскировать программы-вымогатели под законные файлы, чтобы обманом заставить пользователей загрузить и запустить их.

Вредоносные ссылки в приложениях чата и социальных сетях. Злоумышленники могут распространять программы-вымогатели через ссылки, которыми делятся в приложениях чата или на платформах социальных сетей, побуждая пользователей нажимать на них с помощью заманчивых сообщений или предложений.

Атаки Watering Hole: с помощью этого метода злоумышленники подвергают риску веб-сайты, которые часто посещает их целевая аудитория. Когда пользователи посещают эти взломанные сайты, они неосознанно подвергаются воздействию программ-вымогателей.

Это всего лишь несколько примеров того, как программы-вымогатели могут распространяться в Интернете. Злоумышленники постоянно совершенствуют свою тактику, чтобы обойти меры безопасности и использовать уязвимости, поэтому пользователям и организациям крайне важно сохранять бдительность и применять надежные методы кибербезопасности.