Genesis Ransomware är en MedusaLocker-klon

Vårt team har identifierat Genesis ransomware, som tillhör MedusaLocker ransomware-familjen. Denna typ av skadlig programvara krypterar filer och kräver betalning för deras dekryptering.

Under vår testning krypterade Genesis (MedusaLocker) ransomware filer på vår testmaskin och lade till ett ".genesis15"-tillägg till sina filnamn (observera att antalet kan variera beroende på varianten av programmet). Till exempel omvandlades en fil som ursprungligen hette "1.jpg" till "1.jpg.genesis15" och "2.png" blev "2.png.genesis15."

Efter att ha slutfört krypteringsprocessen deponerade ransomware en lösennota med namnet "HOW_TO_BACK_FILES.html." Meddelandet i HTML-filen indikerar att Genesis (MedusaLocker) skadlig programvara specifikt riktar sig mot företag snarare än enskilda användare. Enligt anteckningen har offrets företagsnätverk äventyrats, och de krypterade filerna, säkrade med RSA- och AES-krypteringsalgoritmer, hade också mycket känsliga data extraherade från nätverket.

Offret varnas för att ändra de berörda filernas namn, göra ändringar eller använda tredje parts återställningsprogram kan leda till permanent dataförlust. För att initiera dekrypteringsprocessen måste offret betala en lösensumma. Även om det exakta beloppet inte anges i anteckningen, nämns det att kontakt med angriparna efter 72 timmar kommer att resultera i en ökad lösensumma.

Innan någon betalning görs har offret möjlighet att testa dekrypteringen på tre filer. Underlåtenhet att följa cyberbrottslingens krav kan leda till att de stulna uppgifterna säljs eller läcker ut.

Genesis Ransom Note Copies MedusaLocker

Hela texten i lösenbrevet från Första Moseboken lyder som följer:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
assistant01@backup.capital
assistant01@decodezone.net

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Hur distribueras ransomware vanligtvis online?

Ransomware distribueras vanligtvis online genom olika metoder, utnyttjar sårbarheter och intet ont anande användare. Några vanliga distributionsmetoder inkluderar:

Nätfiske-e-post: Cyberbrottslingar använder ofta nätfiske-e-post för att leverera ransomware. Dessa e-postmeddelanden kan innehålla skadliga bilagor eller länkar som, när de klickas, laddar ner och kör ransomware på offrets system. E-postmeddelandena är utformade för att lura användare att öppna bilagan eller klicka på länken, ofta genom att posera som legitima enheter eller brådskande meddelanden.

Skadliga webbplatser: Besök på utsatta eller skadliga webbplatser kan utsätta användare för nedladdningar som körs förbi. I det här scenariot laddas skadlig programvara, inklusive ransomware, automatiskt ned och körs på användarens system utan deras vetskap eller samtycke. Denna metod är ofta associerad med webbplatser som är värd för skadligt innehåll eller utnyttjar sårbarheter i programvara.

Malvertising: Skadlig reklam, eller malvertising, innebär att skadlig kod placeras i onlineannonser. När användare klickar på dessa annonser kan de omedvetet ladda ner och installera ransomware på sina enheter. Malvertising kan förekomma på legitima webbplatser genom utsatta annonsnätverk.

Drive-by-nedladdningar: Cyberkriminella kan utnyttja sårbarheter i programvara, webbläsare eller operativsystem för att initiera drive-by-nedladdningar. Denna metod gör att ransomware kan laddas ner och köras automatiskt när en användare besöker en komprometterad eller skadlig webbplats utan att någon interaktion krävs.

Vattenhålsattacker: I vattenhålsattacker riktar sig hackare på webbplatser som besöks av en specifik grupp eller industri. Genom att kompromissa med dessa webbplatser med ransomware kan angripare infektera systemen hos individer eller organisationer som besöker dessa webbplatser och utnyttja det förtroende som är kopplat till de riktade webbplatserna.

Flyttbara media och infekterad programvara: Ransomware kan spridas genom nedladdningar av infekterade program eller skadliga filer på flyttbara media som USB-enheter. Användare kan omedvetet introducera ransomware till sina system genom att ladda ner komprometterad programvara eller sätta in infekterade externa enheter.