Meduza (MedusaLocker) 勒索軟體

Meduza 是 MedusaLocker 系列勒索軟體的一種，是我們在分析惡意軟體樣本時發現的。它的主要功能是加密文件，並在文件名稱後面附加特定的擴展名（例如“.meduza24”），同時還生成名為“How_to_back_files.html”的勒索字條。

舉例來說，當Meduza 加密檔案時，它會以以下方式重新命名它們：“1.jpg”變為“1.jpg.meduza24”，“2.png”更改為“2.png.meduza24”，依此類推。

勒索信告知受害者，他們的關鍵檔案已使用 RSA 和 AES 加密方法進行加密。它強烈反對任何使用第三方軟體恢復這些文件的嘗試，因為這可能會導致永久性損壞。也不建議修改或重新命名加密檔案。

根據勒索字條，網路上沒有任何軟體可以協助解密，唯一的解決方案在於攻擊者。他們聲稱收集了高度機密的個人數據，儲存在私人伺服器上，這些數據將在收到付款後刪除。不付款將導致資料被公開或出售。

該說明強調，攻擊者純粹出於經濟利益的動機，無意損害收件人的聲譽或業務運作。為了展示他們解密文件的能力，他們根據要求免費解密 2-3 個不太重要的文件。

透過兩個電子郵件地址（ithelp01@securitymy.name 和 ithelp01@yousheltered.com）提供用於協商贖金和取得解密軟體的聯絡資訊。該說明還建議在 protonmail.com 上建立一個新的免費電子郵件帳戶以建立聯繫。

超過 72 小時期限後，如果受害者未能聯繫攻擊者，贖金金額就會增加。此外，還引用了 Tor-chat 來進行持續溝通。

Meduza 勒索信全文

Meduza 勒索信全文如下：

您的個人 ID：

您的公司網路已被滲透
您的所有重要文件已加密！

您的文件是安全的！僅修改過。 （RSA+AES）

任何使用第三方軟體恢復檔案的嘗試
會永久損壞它。
請勿修改加密文件。
請勿重新命名加密檔案。

網路上沒有可用的軟體可以幫助您。我們是唯一能夠
解決你的問題。

我們收集了高度機密/個人資料。這些數據目前儲存在
私人伺服器。您付款後，該伺服器將立即被銷毀。
如果您決定不付款，我們將向公眾或經銷商發布您的資料。
因此，您可以預期您的數據將在不久的將來公開。

我們只求金錢，我們的目標不是損害您的聲譽或阻止您
您的企業免於運作。

您可以向我們發送2-3個不重要的文件，我們將免費解密
以證明我們能夠歸還您的文件。

請聯絡我們以了解價格並取得解密軟體。

電子郵件：
ithelp01@securitymy.name
ithelp01@yousheltered.com
若要聯絡我們，請在網站上建立一個新的免費電子郵件帳戶：protonmail.com
如果您不在 72 小時內聯絡我們，價格將會更高。

Tor-chat 始終保持聯繫：

勒索軟體如何感染您的電腦？

勒索軟體可以透過各種方法感染您的計算機，並且通常依靠社會工程策略來誘騙用戶發起感染。以下是勒索軟體感染您的電腦的一些常見方式：

• 惡意電子郵件附件：最常見的方法之一是透過網路釣魚電子郵件。攻擊者會傳送看似合法的電子郵件，並且可能包含嵌入惡意程式碼的附件，例如 PDF 或 Office 文件。當您開啟附件時，勒索軟體就會被執行。
• 惡意連結：網路釣魚電子郵件也可能包含惡意網站的連結。點擊這些連結可能會導致偷渡式下載，勒索軟體會在您不知情的情況下自動下載並執行。
• 虛假軟體更新：攻擊者可能會建立虛假軟體更新通知或彈出窗口，模仿您的作業系統或軟體的合法更新。如果您下載並安裝這些假更新，您可能會在不知不覺中安裝勒索軟體。
• 受感染的軟體：有時，攻擊者會破壞合法的軟體安裝程式並向其中註入勒索軟體。當您下載並安裝看似安全的程式時，您會無意中安裝勒索軟體。
• 惡意廣告：惡意廣告或惡意廣告涉及網路犯罪分子將受感染的廣告放置在合法網站上。點擊這些廣告可以將您重新導向到分發勒索軟體的網站。
• 遠端桌面協定 (RDP) 攻擊：如果您的 RDP 安全措施不當，攻擊者可能會利用漏洞遠端存取您的電腦。一旦進入，他們就可以安裝勒索軟體。
• 利用漏洞：勒索軟體可以利用作業系統或應用程式中的軟體漏洞。讓您的軟體保持最新的安全性修補程式有助於防止這種方法。
• 社會工程：攻擊者可能會冒充受信任的實體（例如技術支援人員或同事）來誘騙您下載並執行包含勒索軟體的檔案。