Программа-вымогатель OlSaveLock — это новый вариант MedusaLocker

В ходе рутинного анализа новых вредоносных файлов наша команда исследователей обнаружила программу-вымогатель OlSaveLock. Это вредоносное ПО работает путем шифрования данных и требует выкуп в обмен на расшифровку. Примечательно, что OlSaveLock является членом печально известного семейства программ-вымогателей MedusaLocker.

В нашей тестовой среде OlSaveLock эффективно шифровал файлы и добавлял к исходным именам файлов отдельное расширение «.olsavelock31». Например, файл с именем «1.jpg» будет отображаться как «1.jpg.olsavelock31», а «2.png» — как «2.png.olsavelock31» и так далее. Важно отметить, что конкретный номер в расширении может варьироваться в зависимости от варианта программы-вымогателя. Кроме того, OlSaveLock разместил на рабочем столе записку с требованием выкупа под названием How_to_back_files.html.

Содержание примечания о выкупе ясно указывает на то, что OlSaveLock в первую очередь нацелен на крупные организации, а не на отдельных домашних пользователей. Согласно сообщению, корпоративная сеть жертвы была скомпрометирована. Степень ущерба описывается как шифрование важных файлов с использованием криптографических алгоритмов RSA и AES, а также несанкционированное извлечение конфиденциальных и личных данных.

В примечании говорится, что уплата выкупа необходима для расшифровки затронутых файлов и предотвращения раскрытия или продажи украденной информации. Перед оплатой жертве предлагается протестировать процесс расшифровки на трех файлах, не содержащих ценных данных.

Хотя конкретная сумма выкупа в записке не указана, подразумевается, что сумма будет увеличиваться, если жертва не сможет установить контакт с злоумышленниками в течение 72 часов. Кроме того, жертва прямо предупреждается, что любые попытки переименовать или изменить зашифрованные файлы, а также использование сторонних инструментов дешифрования приведут к безвозвратной потере данных.

Записка о выкупе OlSaveLock угрожает повышением выкупа через 72 часа

Полный текст записки о выкупе OlSaveLock выглядит следующим образом:

ВАШ ЛИЧНЫЙ ID:

СЕТЬ ВАШЕЙ КОМПАНИИ БЫЛА ВЗЛОМАНА
Все ваши важные файлы были зашифрованы!

Ваши файлы в безопасности! Только модифицированный. (РСА+АЕС)

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
НАВСЕГДА РАЗРУШИТ ЕГО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто может
решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на
частный сервер. Этот сервер будет немедленно уничтожен после оплаты.
Если вы решите не платить, мы опубликуем ваши данные для всех или реселлера.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

Мы ищем только деньги, и наша цель не в том, чтобы навредить вашей репутации или предотвратить
ваш бизнес от запуска.

Вы можете отправить нам 2-3 неважных файла и мы их бесплатно расшифруем
чтобы доказать, что мы можем вернуть ваши файлы.

Свяжитесь с нами, чтобы узнать цену и получить программное обеспечение для расшифровки.

электронная почта:
ithelp10@securitymy.name
ithelp10@youshelted.com

• Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com
  ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ.

Как программы-вымогатели, такие как OlSaveLock, обычно доставляются в систему-жертву?

Для доставки программ-вымогателей, таких как OlSaveLock, в системы-жертвы обычно используются различные методы и приемы. Вот несколько распространенных способов доставки программ-вымогателей:

• Фишинговые электронные письма. Фишинговые электронные письма остаются популярным методом доставки программ-вымогателей. Злоумышленники отправляют, казалось бы, законные электронные письма с вредоносными вложениями или ссылками. Эти электронные письма часто выдают себя за авторитетные организации, обманом заставляя получателей открывать вложения или переходить по ссылкам, которые загружают программу-вымогатель в свои системы.
• Вредоносные загрузки: программы-вымогатели также могут быть доставлены посредством вредоносных загрузок со взломанных веб-сайтов или вводящих в заблуждение рекламных объявлений (вредоносная реклама). Посещение скомпрометированных веб-сайтов или нажатие на вредоносную рекламу может вызвать автоматическую загрузку и выполнение полезной нагрузки программы-вымогателя.
• Наборы эксплойтов. Наборы эксплойтов — это наборы инструментов, которые используют уязвимости в программном обеспечении или операционных системах. Используя уязвимости в системе безопасности, они могут незаметно доставлять и устанавливать программы-вымогатели на уязвимые системы без вмешательства пользователя. Эти уязвимости можно найти в устаревшем программном обеспечении или неисправленных системах.
• Атаки на протокол удаленного рабочего стола (RDP): Злоумышленники могут нацеливаться на системы, в которых включен протокол удаленного рабочего стола (RDP), но слабые или легко угадываемые учетные данные для входа. Они пытаются получить несанкционированный доступ к системе, а затем внедряют программу-вымогатель.
• Вредоносные ссылки и веб-сайты: программы-вымогатели могут распространяться через вредоносные ссылки, распространяемые через социальные сети, платформы обмена мгновенными сообщениями или взломанные веб-сайты. Нажатие на эти ссылки или посещение зараженных веб-сайтов может привести к загрузке и запуску программы-вымогателя.
• Попутные загрузки. Попутные загрузки происходят, когда программа-вымогатель автоматически загружается и устанавливается без ведома или взаимодействия пользователя при посещении взломанного или вредоносного веб-сайта. Используя уязвимости в браузерах или плагинах, программа-вымогатель доставляется скрытно.

Важно отметить, что эти методы доставки могут развиваться, и со временем могут появляться новые методы. Для защиты от атак программ-вымогателей крайне важно поддерживать актуальное программное обеспечение безопасности, регулярно устанавливать исправления и обновления, проявлять осторожность при открытии вложений электронной почты или переходе по ссылкам, а также применять строгие меры контроля доступа и меры безопасности в системах и сетях. Регулярное резервное копирование данных и обучение пользователей методам распознавания и предотвращения потенциальных угроз также играют решающую роль в смягчении последствий атак программ-вымогателей.