Reparera Ransomware är baserad på MedusaLocker

När vi gick igenom nyupptäckta filprover, stötte vi på en skadlig programvara som heter Repair, som tillhör MedusaLocker ransomware-familjen. Reparation fungerar som ransomware som krypterar data.

Under vår analys observerade vi att programmet krypterade filer och lade till ett ".repair"-tillägg till sina filnamn. Till exempel, en fil som ursprungligen hette "1.jpg" dök upp som "1.jpg.repair", "2.png" som "2.png.repair" och så vidare.

När krypteringsprocessen slutförts genererade ransomwaren en HTML-fil med titeln "How_to_back_files.html", som innehöll lösensumman. Förutom att kräva betalning för dekryptering, använder denna ransomware dubbla utpressningstaktik genom att hota offer med dataläckor.

Lösenedeln visar tydligt att Repair i första hand riktar sig till företag snarare än enskilda användare. Den informerar om att filerna på företagets nätverk har krypterats och att konfidentiella eller personliga uppgifter har extraherats.

Noteringen betonar att endast angriparna har förmågan att återställa de krypterade filerna. Alla försök att byta namn på, ändra eller manuellt dekryptera filerna kommer att resultera i oåterkallelig datakorruption.

För att dekryptera filerna måste offret betala en lösensumma, med en varning om att vägran att följa kommer att leda till det läckta eller sålda innehållet. Att inte etablera kontakt med cyberbrottslingarna inom 72 timmar kommer att leda till en ökning av lösensumman. Innan de uppfyller dessa krav får offret testa dekryptering på upp till tre oviktiga filer.

Reparera Ransom Note Copies MedusaLocker Mall

Den fullständiga texten i reparationslösennotan lyder som följer:

YOUR PERSONAL ID: -

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:

Vilka är de vanligaste distributionsvektorerna för Ransomware?

Ransomware kan infiltrera system genom olika distributionsvektorer, men några av de vanligaste inkluderar:

Nätfiske-e-post: Nätfiske-e-post är en primär metod för distribution av ransomware. Angripare skickar vilseledande e-postmeddelanden som innehåller skadliga bilagor eller länkar, som ofta utger sig för att vara legitima enheter eller organisationer. Att klicka på dessa bilagor eller länkar kan utlösa nedladdning och körning av ransomware.

Skadliga webbplatser: Ransomware kan distribueras genom komprometterade eller skadliga webbplatser. Att besöka sådana webbplatser eller klicka på skadliga annonser kan leda till automatisk nedladdning och installation av ransomware på offrets system.

Exploit Kits: Exploit kit är verktygssatser som innehåller förskriven kod utformad för att utnyttja sårbarheter i programvara eller webbläsare. Cyberbrottslingar använder exploateringssatser för att automatiskt identifiera och utnyttja sårbarheter i system, vilket gör att de kan leverera ransomware-nyttolaster utan användarinteraktion.

Sårbarheter i programvara: Skapare av ransomware utnyttjar ofta kända sårbarheter i operativsystem eller mjukvaruapplikationer för att få obehörig åtkomst till system. Underlåtenhet att installera säkerhetskorrigeringar och uppdateringar gör att systemen kan utnyttjas av ransomware.

Drive-by-nedladdningar: Drive-by-nedladdningar sker när ransomware laddas ner och installeras på ett offers system utan deras vetskap eller samtycke. Detta händer ofta när du besöker inträngda webbplatser eller klickar på skadliga länkar.

Social Engineering Tactics: Ransomware-distributörer använder ofta social engineering-taktik för att lura användare att exekvera skadlig kod. Detta kan innefatta att locka användare att ladda ner och köra skadlig programvara genom vilseledande annonser, falska programuppdateringar eller bedrägliga erbjudanden.

För att minska risken för ransomware-infektioner bör användare och organisationer implementera robusta cybersäkerhetsåtgärder, såsom regelbundna programuppdateringar, utbildning av anställda om att identifiera nätfiske-e-postmeddelanden och användning av välrenommerade antivirusprogram och brandväggar. Dessutom är det viktigt att underhålla regelbundna säkerhetskopior av kritiska data för återställning i händelse av en ransomware-attack.