Protect (MedusaLocker) Ransomware försöker kryptera företagsdata

Under vår granskning av de senaste filinlämningarna gjorde vårt team en unik upptäckt: uppkomsten av en ransomware-variant känd som Protect, som tillhör MedusaLocker ransomware-familjen. Precis som med andra typer av ransomware är det primära syftet med Protect att kryptera data och kräva en lösensumma för dess dekryptering.

För att undersöka Protects beteende körde vi ett prov på vår testmaskin, vilket resulterade i kryptering av filer. Noterbart är att ransomwaren har lagt till ett ".protect3"-tillägg till de ursprungliga filnamnen. Till exempel omvandlades en fil med namnet "1.jpg" till "1.jpg.protect3", medan "2.png" blev "2.png.protect3" och så vidare. Det är värt att nämna att det numeriska värdet i tillägget kan variera beroende på den specifika varianten av ransomware.

Efter att ha slutfört krypteringsprocessen genererade Protect en lösennota med titeln "How_to_back_files.html." Innehållet i anteckningen indikerar att ransomwaren Protect (MedusaLocker) specifikt riktar sig mot företag snarare än enskilda hemanvändare.

Lösenedeln förmedlar till offret att deras företagsnätverk har äventyrats och att alla viktiga filer har krypterats med RSA- och AES-krypteringsalgoritmer. Den varnar uttryckligen för att döpa om, ändra eller försöka dekryptera den låsta datan, eftersom sådana åtgärder skulle göra den permanent otillgänglig. Noteringen betonar att endast angriparna har förmågan att återställa de drabbade filerna.

Dessutom förklarar lösensumman att konfidentiell och personlig information har extraherats från det komprometterade nätverket. Offret uppmanas att kontakta cyberkriminella inom en 72-timmars tidsram och instrueras att skicka in 2 till 3 icke-nödvändiga filer som ett sätt att testa dekrypteringsprocessen. Underlåtenhet att följa kraven på lösen kommer att resultera i att gärningsmännen läcker de stulna uppgifterna på nätet.

Protect Ransom Note lovar dekryptering av två filer

Den fullständiga texten i Protect lösennotan lyder som följer:

DITT PERSONLIGA ID:

DITT FÖRETAGETS NÄTVERK HAR PENETRERATS
Alla dina viktiga filer har krypterats!

Dina filer är säkra! Endast modifierad. (RSA+AES)

NÅGRA FÖRSÖK ATT ÅTERSTÄLLA DINA FILER MED TREDJEPARTSPROGRAMVARA
KOMMER PERMANENT KORRUPTERA DET.
MODIFIERA INTE KRYPTERADE FILER.
BYT INTE DAMN PÅ KRYPTERADE FILER.

Ingen programvara tillgänglig på internet kan hjälpa dig. Vi är de enda som kan
lösa ditt problem.

Vi samlade in mycket konfidentiella/personliga uppgifter. Dessa data lagras för närvarande på
en privat server. Denna server kommer att förstöras omedelbart efter din betalning.
Om du bestämmer dig för att inte betala kommer vi att lämna ut dina uppgifter till allmänheten eller återförsäljare.
Så du kan förvänta dig att din data kommer att vara offentligt tillgänglig inom en snar framtid.

Vi söker bara pengar och vårt mål är inte att skada ditt rykte eller förhindra
ditt företag från att köra.

Du kan skicka oss 2-3 icke-viktiga filer och vi kommer att dekryptera dem gratis
för att bevisa att vi kan lämna tillbaka dina filer.

Kontakta oss för pris och få dekrypteringsmjukvara.

e-post:
ithelp01@securitymy.name
ithelp01@yousheltered.com

• För att kontakta oss, skapa ett nytt gratis e-postkonto på webbplatsen: protonmail.com
  OM DU INTE KONTAKAR OSS INOM 72 TIMMAR BLIR PRISET HÖGRE.
• Tor-chatta för att alltid vara i kontakt:

Hur kan du skydda dina värdefulla data från Ransomware?

Att skydda dina värdefulla data från ransomware kräver ett proaktivt och mångskiktat tillvägagångssätt. Här är flera steg du kan ta för att förbättra ditt försvar mot ransomware-attacker:

• Säkerhetskopiera dina data: Säkerhetskopiera dina viktiga filer och data regelbundet till en extern enhet eller molnlagring. Se till att säkerhetskopiorna är offline eller lagrade i ett separat nätverk för att förhindra att de äventyras i en attack. Verifiera integriteten hos dina säkerhetskopior och testa återställningsprocessen för att säkerställa deras effektivitet.
• Håll programvaran uppdaterad: Håll ditt operativsystem, applikationer och säkerhetsprogram uppdaterade. Aktivera automatiska uppdateringar när det är möjligt för att säkerställa att du har de senaste korrigeringarna och säkerhetskorrigeringarna, eftersom de ofta åtgärdar sårbarheter som ransomware kan utnyttja.
• Använd robust säkerhetsprogramvara: Installera välrenommerade antivirus- och anti-malware-program på alla dina enheter. Aktivera realtidsskanning och automatiska uppdateringar för att upptäcka och blockera ransomware-hot. Överväg att använda programvara som erbjuder beteendebaserad upptäckt för att identifiera misstänkta aktiviteter.
• Var försiktig med e-post och nedladdningar: Var försiktig när du öppnar e-postbilagor eller klickar på länkar, särskilt från okända avsändare eller misstänkta e-postmeddelanden. Undvik att ladda ner filer från opålitliga källor eller besöka riskfyllda webbplatser som kan vara värd för skadligt innehåll. Implementera e-postfiltrerings- och webbfiltreringslösningar för att blockera kända skadliga bilagor och webbadresser.
• Aktivera brandvägg och system för intrångsdetektion: Aktivera brandväggar på ditt nätverk och enheter för att filtrera bort skadlig nätverkstrafik. Överväg dessutom att implementera intrångsdetektering och -förebyggande system (IDPS) för att övervaka och blockera obehöriga åtkomstförsök.
• Inaktivera makron och aktivt innehåll: Inaktivera makron i kontorsproduktivitetsprogram som Microsoft Office om de inte krävs för ditt arbete. Var försiktig när du aktiverar aktivt innehåll, såsom makron eller JavaScript, i dokument eller webbplatser, eftersom de kan användas för att leverera lösenprogramvara.
• Använd starka, unika lösenord: Implementera starka, unika lösenord för alla dina konton, inklusive ditt operativsystem, applikationer och onlinetjänster. Överväg att använda en lösenordshanterare för att säkert lagra och generera komplexa lösenord.