Восстановление программ-вымогателей на основе MedusaLocker

Просматривая недавно обнаруженные образцы файлов, мы наткнулись на вредоносное программное обеспечение Repair, принадлежащее семейству программ-вымогателей MedusaLocker. Функция восстановления действует как программа-вымогатель, шифрующая данные.

В ходе анализа мы заметили, что программа шифровала файлы и добавляла к их именам расширение «.repair». Например, файл с первоначальным названием «1.jpg» отображается как «1.jpg.repair», «2.png» как «2.png.repair» и т. д.

После завершения процесса шифрования программа-вымогатель создала HTML-файл под названием «How_to_back_files.html», содержащий требование выкупа. Помимо требования оплаты за расшифровку, этот вирус-вымогатель использует тактику двойного вымогательства, угрожая жертвам утечкой данных.

В записке о выкупе ясно указано, что Repair в первую очередь нацелен на компании, а не на отдельных пользователей. Оно сообщает, что файлы в сети компании зашифрованы, а конфиденциальные или персональные данные извлечены.

В примечании подчеркивается, что только злоумышленники обладают возможностью восстановить зашифрованные файлы. Любые попытки переименовать, изменить или вручную расшифровать файлы приведут к необратимому повреждению данных.

Чтобы расшифровать файлы, жертва должна заплатить выкуп с предупреждением, что отказ подчиниться приведет к утечке или продаже контента. Неспособность установить контакт с киберпреступниками в течение 72 часов приведет к увеличению суммы выкупа. Прежде чем выполнить эти требования, жертве разрешается протестировать расшифровку до трех неважных файлов.

Восстановить копии записок о выкупе Шаблон MedusaLocker

Полный текст записки о выкупе за ремонт выглядит следующим образом:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Каковы наиболее распространенные векторы распространения программ-вымогателей?

Программы-вымогатели могут проникать в системы через различные пути распространения, но наиболее распространенными из них являются:

Фишинговые электронные письма. Фишинговые электронные письма являются основным методом распространения программ-вымогателей. Злоумышленники рассылают обманные электронные письма, содержащие вредоносные вложения или ссылки, часто выдавая себя за законные лица или организации. Нажатие на эти вложения или ссылки может вызвать загрузку и выполнение программы-вымогателя.

Вредоносные веб-сайты. Программы-вымогатели могут распространяться через скомпрометированные или вредоносные веб-сайты. Посещение таких веб-сайтов или нажатие на вредоносную рекламу может привести к автоматической загрузке и установке программы-вымогателя в систему жертвы.

Наборы эксплойтов. Наборы эксплойтов — это наборы инструментов, которые содержат предварительно написанный код, предназначенный для использования уязвимостей в программном обеспечении или веб-браузерах. Киберпреступники используют наборы эксплойтов для автоматического выявления и использования уязвимостей в системах, что позволяет им доставлять полезные данные программ-вымогателей без взаимодействия с пользователем.

Уязвимости программного обеспечения. Создатели программ-вымогателей часто используют известные уязвимости в операционных системах или программных приложениях для получения несанкционированного доступа к системам. Если не установить исправления и обновления безопасности, системы становятся уязвимыми для атак программ-вымогателей.

Загрузки с диска. Загрузки с диска происходят, когда программа-вымогатель загружается и устанавливается в систему жертвы без ее ведома и согласия. Это часто происходит при посещении взломанных веб-сайтов или переходе по вредоносным ссылкам.

Тактика социальной инженерии. Распространители программ-вымогателей часто используют тактику социальной инженерии, чтобы обманом заставить пользователей выполнить вредоносный код. Это может включать в себя побуждение пользователей загружать и запускать вредоносное программное обеспечение с помощью обманной рекламы, поддельных обновлений программного обеспечения или мошеннических предложений.

Чтобы снизить риск заражения программами-вымогателями, пользователи и организации должны принять надежные меры кибербезопасности, такие как регулярные обновления программного обеспечения, обучение сотрудников распознаванию фишинговых электронных писем и использование надежных антивирусных программ и брандмауэров. Кроме того, регулярное резервное копирование критически важных данных необходимо для восстановления в случае атаки программы-вымогателя.