Meduza (MedusaLocker) 勒索软件

Meduza 是 MedusaLocker 系列勒索软件的一种，是我们在分析恶意软件样本时发现的。它的主要功能是加密文件，并在文件名后附加特定的扩展名（例如“.meduza24”），同时还生成名为“How_to_back_files.html”的勒索字条。

举例来说，当 Meduza 加密文件时，它会按如下方式重命名它们：“1.jpg”变为“1.jpg.meduza24”，“2.png”更改为“2.png.meduza24”，依此类推。

勒索信告知受害者，他们的关键文件已使用 RSA 和 AES 加密方法进行加密。它强烈反对任何使用第三方软件恢复这些文件的尝试，因为这可能会导致永久性损坏。也不建议修改或重命名加密文件。

根据勒索字条，网上没有任何软件可以协助解密，唯一的解决方案在于攻击者。他们声称收集了高度机密的个人数据，存储在私人服务器上，这些数据将在收到付款后删除。不付款将导致数据被公开或出售。

该说明强调，攻击者纯粹出于经济利益的动机，无意损害收件人的声誉或业务运营。为了展示他们解密文件的能力，他们根据要求免费解密 2-3 个不太重要的文件。

通过两个电子邮件地址（ithelp01@securitymy.name 和 ithelp01@yousheltered.com）提供用于协商赎金和获取解密软件的联系信息。该说明还建议在 protonmail.com 上创建一个新的免费电子邮件帐户以建立联系。

超过 72 小时期限后，如果受害者未能联系攻击者，赎金金额就会增加。此外，还引用了 Tor-chat 来进行持续沟通。

Meduza 勒索信全文

Meduza 勒索信全文如下：

您的个人 ID：

您的公司网络已被渗透
您的所有重要文件均已加密！

您的文件是安全的！仅修改过。（RSA+AES）

任何使用第三方软件恢复文件的尝试
会永久损坏它。
请勿修改加密文件。
请勿重命名加密文件。

互联网上没有可用的软件可以帮助您。我们是唯一能够
解决你的问题。

我们收集了高度机密/个人数据。这些数据当前存储在
私人服务器。您付款后，该服务器将立即被销毁。
如果您决定不付款，我们将向公众或经销商发布您的数据。
因此，您可以预期您的数据将在不久的将来公开。

我们只求金钱，我们的目标不是损害您的声誉或阻止您
您的企业免于运行。

您可以向我们发送2-3个不重要的文件，我们将免费解密
以证明我们能够归还您的文件。

请联系我们了解价格并获取解密软件。

电子邮件：
ithelp01@securitymy.name
ithelp01@yousheltered.com
要联系我们，请在网站上创建一个新的免费电子邮件帐户：protonmail.com
如果您不在 72 小时内联系我们，价格将会更高。

Tor-chat 始终保持联系：

勒索软件如何感染您的计算机？

勒索软件可以通过各种方法感染您的计算机，并且通常依靠社会工程策略来诱骗用户发起感染。以下是勒索软件感染您的计算机的一些常见方式：

恶意电子邮件附件：最常见的方法之一是通过网络钓鱼电子邮件。攻击者发送看似合法的电子邮件，并且可能包含嵌入恶意代码的附件，例如 PDF 或 Office 文档。当您打开附件时，勒索软件就会被执行。
恶意链接：网络钓鱼电子邮件还可能包含恶意网站的链接。单击这些链接可能会导致偷渡式下载，勒索软件会在您不知情的情况下自动下载并执行。
虚假软件更新：攻击者可能会创建虚假软件更新通知或弹出窗口，模仿您的操作系统或软件的合法更新。如果您下载并安装这些假更新，您可能会在不知不觉中安装勒索软件。
受感染的软件：有时，攻击者会破坏合法的软件安装程序并向其中注入勒索软件。当您下载并安装看似安全的程序时，您会无意中安装勒索软件。
恶意广告：恶意广告或恶意广告涉及网络犯罪分子将受感染的广告放置在合法网站上。点击这些广告可以将您重定向到分发勒索软件的网站。
远程桌面协议 (RDP) 攻击：如果您的 RDP 安全措施不当，攻击者可能会利用漏洞远程访问您的计算机。一旦进入，他们就可以安装勒索软件。
利用漏洞：勒索软件可以利用操作系统或应用程序中的软件漏洞。让您的软件保持最新的安全补丁有助于防止这种方法。
社会工程：攻击者可能会冒充受信任的实体（例如技术支持人员或同事）来诱骗您下载并执行包含勒索软件的文件。

由 Zaib

September 28, 2023

Ransomware

汉语