OlSaveLock 勒索軟件是一個新的 MedusaLocker 變種
在對新惡意文件進行例行分析期間,我們的研究人員團隊發現了 OlSaveLock 勒索軟件。這種惡意軟件通過加密數據並要求贖金來換取解密來運行。值得注意的是,OlSaveLock 是臭名昭著的 MedusaLocker 勒索軟件家族的一員。
在我們的測試環境中,OlSaveLock 有效地加密了文件並為其原始文件名添加了獨特的“.olsavelock31”擴展名。例如,名為“1.jpg”的文件將顯示為“1.jpg.olsavelock31”,而“2.png”將顯示為“2.png.olsavelock31”,依此類推。請務必注意,擴展中的具體數字可能因勒索軟件的變體而異。此外,OlSaveLock 在桌面上放置了一張名為“How_to_back_files.html”的勒索字條。
贖金記錄的內容清楚地表明 OlSaveLock 主要針對大型組織而不是個人家庭用戶。根據消息,受害者的公司網絡已被入侵。損壞程度被描述為使用 RSA 和 AES 加密算法對關鍵文件進行加密,以及未經授權提取敏感數據和個人數據。
該說明指出,支付贖金對於解密受影響的文件和防止洩露或出售被盜信息至關重要。在付款之前,受害者有機會在三個不包含有價值數據的文件上測試解密過程。
雖然筆記中沒有說明贖金的具體數額,但暗示如果受害人未能在 72 小時內與攻擊者建立聯繫,贖金數額將會增加。此外,受害者被明確警告,任何重命名或修改加密文件的嘗試,以及使用第三方解密工具,都將導致數據永久丟失。
OlSaveLock 贖金票據威脅在 72 小時內提高贖金
OlSaveLock 勒索信全文如下:
您的個人 ID:
您的公司網絡已被滲透
您所有的重要文件都已加密!您的文件是安全的!僅修改。 (RSA+AES)
任何試圖使用第三方軟件恢復您的文件的行為
將永久損壞它。
不要修改加密文件。
不要重命名加密文件。互聯網上沒有可用的軟件可以幫助您。我們是唯一能夠做到的
解決你的問題。我們收集了高度機密/個人數據。這些數據目前存儲在
私人服務器。此服務器將在您付款後立即銷毀。
如果您決定不付款,我們會將您的數據公開或轉售。
因此,您可以期待您的數據在不久的將來公開可用。我們只求錢,我們的目標不是損害您的聲譽或阻止
您的業務免於運行。您可以向我們發送2-3個不重要的文件,我們將免費解密
以證明我們能夠歸還您的文件。聯繫我們了解價格並獲取解密軟件。
電子郵件:
ithelp10@securitymy.name
ithelp10@yousheltered.com
- 要聯繫我們,請在網站上創建一個新的免費電子郵件帳戶:protonmail.com
如果您不在 72 小時內聯繫我們,價格將會更高。
像 OlSaveLock 這樣的勒索軟件通常是如何傳送到受害者係統上的?
將 OlSaveLock 等勒索軟件傳送到受害者係統通常涉及各種方法和技術。以下是通常交付勒索軟件的一些常見方式:
- 網絡釣魚電子郵件:網絡釣魚電子郵件仍然是傳遞勒索軟件的流行方法。攻擊者發送帶有惡意附件或鏈接的看似合法的電子郵件。這些電子郵件通常冒充信譽良好的組織,誘使收件人打開附件或點擊鏈接,將勒索軟件下載到他們的系統中。
- 惡意下載:勒索軟件還可以通過從受感染網站或欺騙性廣告(惡意廣告)進行惡意下載來傳播。訪問受感染的網站或點擊惡意廣告可以觸發勒索軟件有效負載的自動下載和執行。
- 漏洞利用工具包:漏洞利用工具包是利用軟件或操作系統漏洞的工具包。通過利用安全漏洞,他們可以在沒有用戶交互的情況下悄悄地在易受攻擊的系統上交付和安裝勒索軟件。這些漏洞可以在過時的軟件或未打補丁的系統中找到。
- 遠程桌面協議 (RDP) 攻擊:攻擊者可能會針對啟用了遠程桌面協議 (RDP) 但登錄憑據薄弱或容易猜到的系統。他們試圖獲得對系統的未授權訪問,然後部署勒索軟件。
- 惡意鏈接和網站:勒索軟件可以通過社交媒體、即時消息平台或受感染網站共享的惡意鏈接進行分發。單擊這些鏈接或訪問受感染的網站可以觸發勒索軟件的下載和執行。
- 偷渡式下載:當勒索軟件在用戶不知情或在訪問受感染或惡意網站時沒有交互的情況下自動下載和安裝時,就會發生偷渡式下載。利用瀏覽器或插件中的漏洞,勒索軟件會悄悄地傳播。
重要的是要注意,這些交付方法會隨著時間的推移而發展,新技術也會不斷湧現。為了防止勒索軟件攻擊,至關重要的是保持最新的安全軟件,定期應用補丁和更新,在打開電子郵件附件或單擊鏈接時謹慎行事,並對系統和網絡實施強大的訪問控制和安全措施。定期的數據備份和關於識別和避免潛在威脅的用戶教育在減輕勒索軟件攻擊的影響方面也發揮著至關重要的作用。
