Genesis Ransomware — это клон MedusaLocker

Наша команда обнаружила программу-вымогатель Genesis, принадлежащую к семейству программ-вымогателей MedusaLocker. Этот тип вредоносного ПО шифрует файлы и требует оплату за их расшифровку.

Во время нашего тестирования программа-вымогатель Genesis (MedusaLocker) зашифровала файлы на нашей тестовой машине и добавила расширение «.genesis15» к их именам (обратите внимание, что это число может варьироваться в зависимости от варианта программы). Например, файл с первоначальным названием «1.jpg» был преобразован в «1.jpg.genesis15», а «2.png» стал «2.png.genesis15».

После завершения процесса шифрования программа-вымогатель оставила записку с требованием выкупа под названием «HOW_TO_BACK_FILES.html». Сообщение в HTML-файле указывает на то, что вредоносное ПО Genesis (MedusaLocker) нацелено конкретно на компании, а не на отдельных пользователей. Согласно сообщению, сеть компании жертвы была скомпрометирована, а зашифрованные файлы, защищенные с помощью криптографических алгоритмов RSA и AES, также содержали высококонфиденциальные данные, извлеченные из сети.

Жертву предупреждают, что изменение имен затронутых файлов, внесение изменений или использование стороннего программного обеспечения для восстановления может привести к безвозвратной потере данных. Чтобы инициировать процесс расшифровки, жертве необходимо заплатить выкуп. Хотя точная сумма в примечании не указана, упоминается, что обращение к злоумышленникам через 72 часа приведет к увеличению выкупа.

Прежде чем совершить какой-либо платеж, жертва имеет возможность проверить расшифровку трех файлов. Невыполнение требований киберпреступника может привести к продаже или утечке украденных данных.

Копии записки о выкупе Genesis MedusaLocker

Полный текст записки о выкупе Genesis выглядит следующим образом:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Как программы-вымогатели обычно распространяются в Интернете?

Программы-вымогатели обычно распространяются в Интернете различными способами, используя уязвимости и ничего не подозревающих пользователей. Некоторые распространенные методы распространения включают в себя:

Фишинговые электронные письма. Киберпреступники часто используют фишинговые электронные письма для доставки программ-вымогателей. Эти электронные письма могут содержать вредоносные вложения или ссылки, при нажатии на которые загружается и запускается программа-вымогатель в системе жертвы. Электронные письма предназначены для того, чтобы заставить пользователей открыть вложение или щелкнуть ссылку, часто выдавая себя за законных лиц или срочные сообщения.

Вредоносные веб-сайты. Посещение скомпрометированных или вредоносных веб-сайтов может привести к тому, что пользователи будут загружать попутные файлы. В этом случае вредоносное ПО, включая программы-вымогатели, автоматически загружается и запускается в системе пользователя без его ведома и согласия. Этот метод часто связан с веб-сайтами, на которых размещается вредоносный контент или эксплуатируются уязвимости программного обеспечения.

Вредоносная реклама. Вредоносная реклама или вредоносная реклама предполагает размещение вредоносного кода в онлайн-рекламе. Когда пользователи нажимают на эти объявления, они могут неосознанно загрузить и установить на свои устройства программы-вымогатели. Вредоносная реклама может возникать на законных веб-сайтах через взломанные рекламные сети.

Попутные загрузки. Киберпреступники могут использовать уязвимости в программном обеспечении, браузерах или операционных системах для инициации попутных загрузок. Этот метод позволяет автоматически загружать и запускать программы-вымогатели, когда пользователь посещает скомпрометированный или вредоносный веб-сайт, без необходимости какого-либо взаимодействия.

Атаки «водопой»: при атаках «водопой» хакеры нацелены на веб-сайты, часто посещаемые определенной группой или отраслью. Компрометируя эти веб-сайты с помощью программ-вымогателей, злоумышленники могут заразить системы отдельных лиц или организаций, посещающих эти сайты, используя доверие, связанное с целевыми сайтами.

Съемные носители и зараженное программное обеспечение. Программы-вымогатели могут распространяться через загрузки зараженного программного обеспечения или вредоносные файлы на съемных носителях, таких как USB-накопители. Пользователи могут неосознанно внедрить программы-вымогатели в свои системы, загружая скомпрометированное программное обеспечение или подключая зараженные внешние устройства.