Infected (MedusaLocker) Ransomware

По време на процеса на анализиране на злонамерен софтуер изследователите по сигурността се натъкнаха на особено обезпокоителен тип рансъмуер, който е определен като заразен рансъмуер. Тази специфична заплаха привлече значително внимание поради своите заплашителни способности и отличителни характеристики.

Заразеният рансъмуер действа, като прониква в целеви устройства и след това продължава да криптира файловете, съхранени на тях. За да объркате допълнително файловете и да ги направите недостъпни за жертвата. Рансъмуерът също така добавя разширението „.infected“ към техните оригинални имена на файлове. Освен това оставя след себе си бележка за откуп, озаглавена „HOW_TO_BACK_FILES.html“, която служи като средство за нападателите да комуникират с жертвата и да поискат плащане на откуп.

Струва си да се отбележи, че има предишен щам на рансъмуер, носещ името „Заразен“. Въпреки това, този нов вариант се отличава с принадлежността си към фамилията MedusaLocker Ransomware , което показва потенциално различен набор от тактики, техники и процедури, използвани от киберпрестъпниците зад него.

Infected (MedusaLocker) рансъмуер прави данните на жертвите неизползваеми

Бележката за откуп информира жертвите, че техните важни файлове са били подложени на криптиране. Акцентът е върху факта, че тези файлове остават физически непокътнати, но се правят недостъпни чрез използването на мощен механизъм за криптиране, съчетаващ RSA и AES алгоритми.

Въпреки това, бележката строго предупреждава да не се опитват каквито и да било опити за възстановяване на файлове със софтуер на трети страни, тъй като това може да повреди файловете. Той също така съветва да не се променят или преименуват криптираните файлове, като допълнително подчертава несигурната ситуация, в която се намира жертвата.

Инфектираният рансъмуер заявява, че силно чувствителни или лични данни са събрани от компрометираната система и данните сега се съхраняват на частен сървър под контрола на нападателите. Тези данни служат като лост – ако жертвата избере да не изпълни исканията за откуп, киберпрестъпниците заплашват да изложат информацията на обществеността или да я продадат на трета страна.

В опит да се установи контакт, бележката за откуп предоставя няколко начина. Той предлага базиран на Tor URL, защитена и анонимна мрежа, за иницииране на комуникация с операторите на ransomware. Освен това бележката предоставя имейл адреси, по-специално ithelp02@securitymy.name и ithelp02@yousheltered.com, като алтернативни начини за контакт.

За допълнително засилване на натиска се въвежда чувствителен към времето елемент. Сумата на откупа подлежи на увеличаване, ако жертвата не успее да започне контакт с операторите в рамките на строг 72-часов прозорец, създавайки усещане за спешност и усложнявайки дилемата на жертвата.

Уверете се, че прилагате ефективни мерки за сигурност срещу инфекции със зловреден софтуер

Ефективните мерки за сигурност срещу инфекции със зловреден софтуер са от решаващо значение за защитата на вашите устройства и данни от вредни софтуерни заплахи. Ето няколко мерки, които потребителите могат да приложат, за да подобрят своята сигурност:

• • Инсталирайте софтуер против злонамерен софтуер : Използвайте уважаван софтуер против злонамерен софтуер на вашите устройства. Поддържайте тези програми актуални и активирайте сканиране в реално време за откриване и премахване на зловреден софтуер.

• • Редовно актуализирайте софтуера : Уверете се, че вашата операционна система, приложения и софтуер се поддържат актуални с най-новите корекции за сигурност. Киберпрестъпниците често се насочват към известни уязвимости.

• • Използвайте защитна стена : Активирайте защитна стена на вашите устройства, за да наблюдавате и контролирате входящия и изходящия мрежов трафик. Това може да помогне за предотвратяване на неоторизиран достъп и комуникация със зловреден софтуер.

• • Бъдете особено внимателни с имейл прикачените файлове и връзките : имейл прикачените файлове и връзките, особено от неизвестни или подозрителни източници, трябва да се обработват внимателно. Избягвайте да отваряте прикачени файлове или връзки от непроверени податели.

• • Практикувайте безопасно сърфиране : Посещавайте само реномирани уебсайтове и когато получавате файлове от интернет, проверете източника, преди да предприемете каквото и да е действие. Избягвайте да взаимодействате с изскачащи реклами или да изтегляте софтуер от ненадеждни източници.

• • Архивирайте вашите данни : Архивирайте вашите важни файлове и данни на външен диск или защитена услуга за съхранение в облак. В случай на заразяване със злонамерен софтуер, можете да възстановите данните си, без да плащате откуп.

• • Внедрете силни пароли : Всички ваши акаунти трябва да използват добре изградени, уникални пароли и трябва да помислите за използването на мениджър на пароли, за да ги следите. Сменяйте редовно паролите, особено за критични акаунти.

• • Информирайте се : Бъдете информирани за най-новите заплахи от зловреден софтуер и често срещани техники за атака. Обучете себе си и членовете на вашето семейство или колеги за безопасни онлайн практики.

Като прилагате тези мерки за сигурност и поддържате бдителност, докато използвате устройствата си и навигирате в онлайн света, можете значително да намалите риска да станете жертва на инфекции със зловреден софтуер и други кибер заплахи.

Пълният текст на бележката за откуп на заразения (MedusaLocker) рансъмуер е:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Note that this server is available via Tor browser only

Follow the instructions to open the link:

Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

Вече имате Tor браузър. В браузъра Tor отворете qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Започнете чат и следвайте по-нататъшните инструкции.
Ако не можете да използвате връзката по-горе, използвайте имейла:
ithelp02@securitymy.name
ithelp02@yousheltered.com

За да се свържете с нас, създайте нов безплатен имейл акаунт на сайта: protonmail.com
АКО НЕ СЕ СВЪРЖЕТЕ С НАС ДО 72 ЧАСА, ЦЕНАТА ЩЕ БЪДЕ ПО-ВИСОКА.'