Infected (MedusaLocker) Ransomware

Durante l'analisi del malware, i ricercatori di sicurezza si sono imbattuti in un tipo di ransomware particolarmente preoccupante, denominato ransomware infetto. Questa specifica minaccia ha raccolto un'attenzione significativa grazie alle sue capacità minacciose e alle sue caratteristiche distintive.

Il ransomware infetto funziona infiltrandosi nei dispositivi mirati e quindi procedendo a crittografare i file in essi archiviati. Per offuscare ulteriormente i file e renderli inaccessibili alla vittima. Il ransomware aggiunge inoltre l'estensione ".infected" ai nomi dei file originali. Inoltre, lascia una richiesta di riscatto intitolata "HOW_TO_BACK_FILES.html", che serve agli aggressori come mezzo per comunicare con la vittima e richiedere il pagamento di un riscatto.

Vale la pena notare che è già esistito un ceppo di ransomware denominato "Infetto". Tuttavia, questa nuova variante si distingue per l'appartenenza alla famiglia MedusaLocker Ransomware , indicando un insieme di tattiche, tecniche e procedure potenzialmente diverse utilizzate dai criminali informatici dietro di essa.

Il ransomware Infected (MedusaLocker) rende inutilizzabili i dati delle vittime

La richiesta di riscatto informa le vittime che i loro file cruciali sono stati sottoposti a crittografia. L'enfasi è sul fatto che questi file rimangono fisicamente intatti ma sono resi inaccessibili attraverso l'uso di un potente meccanismo di crittografia che combina algoritmi RSA e AES.

Tuttavia, la nota mette in guardia severamente dal tentare qualsiasi tentativo di ripristino dei file con software di terze parti in quanto ciò potrebbe danneggiare i file. Sconsiglia inoltre qualsiasi alterazione o ridenominazione dei file crittografati, sottolineando ulteriormente la situazione precaria in cui si trova la vittima.

Il ransomware infetto afferma che dal sistema compromesso sono stati raccolti dati altamente sensibili o personali e che i dati sono ora archiviati su un server privato sotto il controllo degli aggressori. Questi dati fungono da leva: se la vittima decide di non soddisfare le richieste di riscatto, i criminali informatici minacciano di esporre le informazioni al pubblico o di venderle a terzi.

Nel tentativo di stabilire un contatto, la richiesta di riscatto offre diverse strade. Offre un URL basato su Tor, una rete sicura e anonima, per avviare la comunicazione con gli operatori di ransomware. Inoltre, la nota fornisce indirizzi email, in particolare ithelp02@securitymy.name e ithelp02@yousheltered.com, come mezzi di contatto alternativi.

Per intensificare ulteriormente la pressione, viene introdotto un elemento sensibile al tempo. L'importo del riscatto è soggetto ad aumento se la vittima non riesce ad avviare un contatto con gli operatori entro una finestra temporale stringente di 72 ore, creando un senso di urgenza e aggravando il dilemma della vittima.

Assicurati di implementare misure di sicurezza efficaci contro le infezioni malware

Misure di sicurezza efficaci contro le infezioni da malware sono fondamentali per proteggere i dispositivi e i dati dalle minacce software dannose. Ecco diverse misure che gli utenti possono implementare per rafforzare la propria sicurezza:

• • Installa software anti-malware : utilizza un software anti-malware affidabile sui tuoi dispositivi. Mantieni aggiornati questi programmi e abilita la scansione in tempo reale per rilevare e rimuovere malware.

• • Aggiorna regolarmente il software : assicurati che il tuo sistema operativo, le applicazioni e il software siano aggiornati con le ultime patch di sicurezza. I criminali informatici spesso prendono di mira le vulnerabilità note.

• • Utilizza un firewall : attiva un firewall sui tuoi dispositivi per monitorare e controllare il traffico di rete in entrata e in uscita. Ciò può aiutare a prevenire l'accesso non autorizzato e la comunicazione di malware.

• • Prestare particolare attenzione agli allegati e ai collegamenti e-mail : gli allegati e i collegamenti e-mail, soprattutto provenienti da fonti sconosciute o sospette, devono essere gestiti con attenzione. Evita di aprire allegati o collegamenti provenienti da mittenti non verificati.

• • Pratica la navigazione sicura : visita solo siti Web affidabili e quando ottieni file da Internet, verifica la fonte prima di intraprendere qualsiasi azione. Evita di interagire con annunci pubblicitari pop-up o di scaricare software da fonti non affidabili.

• • Effettua il backup dei tuoi dati : esegui il backup di file e dati importanti su un'unità esterna o un servizio di archiviazione cloud sicuro. In caso di infezione da malware, puoi ripristinare i tuoi dati senza pagare un riscatto.

• • Implementa password complesse : tutti i tuoi account dovrebbero utilizzare password univoche e ben costruite e dovresti considerare l'uso di un gestore di password per tenerne traccia. Cambia regolarmente le password, soprattutto per gli account critici.

• • Mantieniti informato : rimani informato sulle ultime minacce malware e sulle tecniche di attacco comuni. Informa te stesso e i tuoi familiari o colleghi sulle pratiche online sicure.

Implementando queste misure di sicurezza e mantenendo la vigilanza mentre utilizzi i tuoi dispositivi e navighi nel mondo online, puoi ridurre significativamente il rischio di cadere vittima di infezioni malware e altre minacce informatiche.

Il testo completo della richiesta di riscatto del ransomware infetto (MedusaLocker) è:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Note that this server is available via Tor browser only

Follow the instructions to open the link:

Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

Ora hai il browser Tor. Nel browser Tor apri qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Avvia una chat e segui le ulteriori istruzioni.
Se non puoi utilizzare il collegamento sopra, utilizza l'e-mail:
ithelp02@securitymy.name
ithelp02@yousheltered.com

Per contattarci, crea un nuovo account email gratuito sul sito: protonmail.com
SE NON CI CONTATTATE ENTRO 72 ORE, IL PREZZO SARÀ PIÙ ALTO.'