Зараженная программа-вымогатель (MedusaLocker) блокирует системы жертв

Анализируя новые образцы вредоносного ПО, исследователи наткнулись на вариант вымогателя из семейства MedusaLocker, который они назвали «Зараженный». Эта программа-вымогатель шифрует файлы и добавляет к их именам расширение «.infected». Кроме того, он оставляет записку о выкупе под названием «HOW_TO_BACK_FILES.html».

Чтобы проиллюстрировать, как Infected изменяет имена файлов при их шифровании, например, «1.jpg» становится «1.jpg.infected», а «2.png» преобразуется в «2.png.infected».

В записке о выкупе сообщается, что важные файлы жертвы были зашифрованы. В нем подчеркивается, что эти файлы, хотя и заблокированы, остаются в безопасности, но были зашифрованы с использованием комбинации методов RSA и AES. В примечании прямо предостерегается от любых попыток восстановить эти файлы с помощью стороннего программного обеспечения, поскольку такие попытки могут привести к необратимому повреждению. Он также не рекомендует изменять или переименовывать зашифрованные файлы.

В примечании утверждается, что решить проблему могут только операторы программ-вымогателей, и что никакое стороннее программное обеспечение не может помочь в этом вопросе. Кроме того, в нем упоминается сбор строго конфиденциальных или личных данных, которые хранятся на частном сервере. Если жертва решит не платить выкуп, эти данные будут либо обнародованы, либо проданы реселлеру, тем самым становясь общедоступными.

В примечании указаны контактные данные для связи с операторами, включая URL-адрес Tor для связи. Он предлагает инструкции о том, как получить доступ к сети Tor и пообщаться с ними. Кроме того, он предоставляет адреса электронной почты (ithelp02@securitymy.name и ithelp02@youshelted.com) для связи.

Сумма выкупа может быть увеличена, если жертва не установит контакт с операторами в течение 72 часов, что добавляет ситуации срочный аспект.

Инфицированные грозятся увеличить выкуп через три дня

Полный текст записки о выкупе Infected выглядит следующим образом:

ВАШ ЛИЧНЫЙ ID:

В СЕТЬ ВАШЕЙ КОМПАНИИ БЫЛО ПРОНИКНОВЕНО
Все ваши важные файлы зашифрованы!

Ваши файлы в безопасности! Только модифицированный. (RSA+AES)

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
БУДЕТ НАВСЕГДА ЕГО ПОВРЕЖДЕНО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто способен
решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на
частный сервер. Этот сервер будет немедленно уничтожен после вашей оплаты.
Если вы решите не платить, мы опубликуем ваши данные или перепродадим их.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

Мы ищем только деньги, и наша цель – не навредить вашей репутации и не предотвратить
ваш бизнес от бега.

Вы можете отправить нам 2-3 неважных файла и мы бесплатно их расшифруем.
чтобы доказать, что мы можем вернуть ваши файлы.

Свяжитесь с нами, чтобы узнать цену и получить программное обеспечение для расшифровки.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Обратите внимание, что этот сервер доступен только через браузер Tor.

Следуйте инструкциям, чтобы открыть ссылку:

1. Введите адрес «hxxps://www.torproject.org» в своем интернет-браузере. Откроется сайт Tor.
2. Нажмите «Загрузить Tor», затем нажмите «Загрузить пакет браузера Tor», установите и запустите его.
3. Теперь у вас есть браузер Tor. В браузере Tor откройте qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion.
4. Начните чат и следуйте дальнейшим инструкциям.
   Если вы не можете использовать ссылку выше, воспользуйтесь электронной почтой:
   ithelp02@securitymy.name
   ithelp02@youshelted.com

Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com.
ЕСЛИ ВЫ НЕ СВЯЖИТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ.

Как программы-вымогатели, подобные зараженным, могут попасть в вашу систему?

Программы-вымогатели, такие как Infected, могут проникнуть в вашу систему различными способами. Вот несколько распространенных способов проникновения программ-вымогателей на ваш компьютер:

• Фишинговые электронные письма. Фишинговые электронные письма являются одним из наиболее распространенных способов доставки программ-вымогателей. Киберпреступники рассылают обманные электронные письма, которые кажутся исходящими из законного источника, но содержат вредоносные вложения или ссылки. Когда вы открываете вложение или нажимаете ссылку, он может загрузить и запустить программу-вымогатель в вашей системе.
• Вредоносные веб-сайты. Посещение вредоносных или скомпрометированных веб-сайтов также может привести к заражению программами-вымогателями. Эти веб-сайты могут использовать уязвимости в вашем веб-браузере или плагинах для загрузки и установки программ-вымогателей без вашего ведома и согласия.
• Попутные загрузки: программы-вымогатели могут распространяться посредством «попутных загрузок», при которых вредоносное ПО автоматически загружается и устанавливается в вашу систему, когда вы посещаете взломанный или вредоносный веб-сайт. Обычно это происходит без какого-либо взаимодействия с пользователем.
• Вредоносная реклама. Киберпреступники могут использовать вредоносную рекламу (вредоносную рекламу) на законных веб-сайтах для распространения программ-вымогателей. Нажатие на эти объявления может вызвать загрузку и установку программы-вымогателя.
• Уязвимости программного обеспечения. Устаревшее или необновленное программное обеспечение может быть использовано программами-вымогателями. Если в вашей операционной системе или приложениях есть известные уязвимости, которые не были исправлены, злоумышленники могут использовать их для получения доступа к вашей системе и установки программы-вымогателя.
• Ненадежные загрузки. Загрузка программного обеспечения, файлов или торрентов из ненадежных или неофициальных источников может быть рискованной. Некоторые загрузки могут содержать программы-вымогатели или другие вредоносные программы, поэтому важно загружать их только из надежных источников.
• USB-накопители и внешние устройства. Программа-вымогатель может распространяться через зараженные USB-накопители или внешние устройства. Если вы подключите к компьютеру устройство, содержащее программу-вымогатель, оно может быстро заразить вашу систему.