Infected (MedusaLocker) Ransomware

Podczas procesu analizy złośliwego oprogramowania badacze bezpieczeństwa natknęli się na szczególnie niepokojący typ oprogramowania ransomware, który został określony jako zainfekowane oprogramowanie ransomware. To specyficzne zagrożenie przyciągnęło znaczną uwagę ze względu na jego groźne możliwości i charakterystyczne cechy.

Zainfekowane oprogramowanie ransomware infiltruje wybrane urządzenia, a następnie szyfruje przechowywane na nich pliki. Aby jeszcze bardziej zaciemnić pliki i uczynić je niedostępnymi dla ofiary. Ransomware dołącza również rozszerzenie „.infected” do oryginalnych nazw plików. Dodatkowo pozostawia notatkę z żądaniem okupu zatytułowaną „HOW_TO_BACK_FILES.html”, która umożliwia atakującym komunikację z ofiarą i żądanie zapłaty okupu.

Warto zauważyć, że istniał już wcześniej szczep oprogramowania ransomware o nazwie „Infected”. Jednakże ten nowy wariant wyróżnia się przynależnością do rodziny MedusaLocker Ransomware , co wskazuje na potencjalnie inny zestaw taktyk, technik i procedur stosowanych przez stojących za nim cyberprzestępców.

Infected ransomware (MedusaLocker) sprawia, że dane ofiar stają się bezużyteczne

Notatka z żądaniem okupu informuje ofiary, że ich najważniejsze pliki zostały zaszyfrowane. Nacisk kładziony jest na fakt, że pliki te pozostają fizycznie nienaruszone, ale stają się niedostępne dzięki zastosowaniu potężnego mechanizmu szyfrowania łączącego algorytmy RSA i AES.

Jednak uwaga surowo ostrzega przed próbami przywracania plików za pomocą oprogramowania innych firm, ponieważ może to spowodować uszkodzenie plików. Odradza także wszelkie zmiany lub zmiany nazw zaszyfrowanych plików, co jeszcze bardziej podkreśla niepewną sytuację, w której znajduje się ofiara.

Infected Ransomware stwierdza, że z zaatakowanego systemu zebrano bardzo wrażliwe lub osobiste dane, które są teraz przechowywane na prywatnym serwerze pod kontrolą osób atakujących. Dane te służą jako dźwignia — jeśli ofiara zdecyduje się nie spełnić żądań okupu, cyberprzestępcy grożą udostępnieniem informacji opinii publicznej lub sprzedażą ich stronie trzeciej.

Próba nawiązania kontaktu jest możliwa za pomocą żądania okupu na kilka sposobów. Oferuje adres URL oparty na Toru, bezpieczną i anonimową sieć, do inicjowania komunikacji z operatorami oprogramowania ransomware. Ponadto w notatce podano adresy e-mail, w szczególności ithelp02@securitymy.name i ithelp02@yousheltered.com, jako alternatywne sposoby kontaktu.

Aby jeszcze bardziej zintensyfikować nacisk, wprowadza się element wrażliwy na czas. Kwota okupu może wzrosnąć, jeśli ofiara nie nawiąże kontaktu z operatorami w ciągu ściśle określonych 72 godzin, co stwarza poczucie pilności i pogłębia dylemat ofiary.

Pamiętaj o wdrożeniu skutecznych środków bezpieczeństwa przed infekcjami złośliwym oprogramowaniem

Skuteczne środki bezpieczeństwa chroniące przed infekcjami złośliwym oprogramowaniem mają kluczowe znaczenie dla ochrony urządzeń i danych przed szkodliwymi zagrożeniami programowymi. Oto kilka środków, które użytkownicy mogą wdrożyć, aby zwiększyć swoje bezpieczeństwo:

• • Zainstaluj oprogramowanie chroniące przed złośliwym oprogramowaniem : Korzystaj z renomowanego oprogramowania chroniącego przed złośliwym oprogramowaniem na swoich urządzeniach. Aktualizuj te programy i włączaj skanowanie w czasie rzeczywistym w celu wykrywania i usuwania złośliwego oprogramowania.

• • Regularnie aktualizuj oprogramowanie : Upewnij się, że Twój system operacyjny, aplikacje i oprogramowanie są aktualne i zawierają najnowsze poprawki zabezpieczeń. Cyberprzestępcy często wykorzystują znane luki w zabezpieczeniach.

• • Użyj zapory sieciowej : Włącz zaporę sieciową na swoich urządzeniach, aby monitorować i kontrolować przychodzący i wychodzący ruch sieciowy. Może to pomóc w zapobieganiu nieautoryzowanemu dostępowi i komunikacji złośliwego oprogramowania.

• • Zachowaj szczególną ostrożność w przypadku załączników i łączy do wiadomości e-mail : Z załącznikami i łączami do wiadomości e-mail, zwłaszcza pochodzącymi z nieznanych lub podejrzanych źródeł, należy obchodzić się ostrożnie. Unikaj otwierania załączników i linków od niezweryfikowanych nadawców.

• • Praktykuj bezpieczne przeglądanie : odwiedzaj tylko renomowane witryny, a pobierając pliki z Internetu, przed podjęciem jakichkolwiek działań sprawdź źródło. Unikaj interakcji z wyskakującymi reklamami lub pobierania oprogramowania z niezaufanych źródeł.

• • Kopia zapasowa danych : Twórz kopie zapasowe ważnych plików i danych na dysku zewnętrznym lub w bezpiecznej usłudze przechowywania w chmurze. W przypadku infekcji złośliwym oprogramowaniem możesz przywrócić swoje dane bez płacenia okupu.

• • Wdrażaj silne hasła : wszystkie Twoje konta powinny używać dobrze zbudowanych, unikalnych haseł i powinieneś rozważyć użycie menedżera haseł do ich śledzenia. Regularnie zmieniaj hasła, zwłaszcza do kont krytycznych.

• • Zdobywaj wiedzę : bądź na bieżąco z najnowszymi zagrożeniami związanymi ze złośliwym oprogramowaniem i typowymi technikami ataków. Edukuj siebie i członków swojej rodziny lub współpracowników w zakresie bezpiecznych praktyk w Internecie.

Wdrażając te środki bezpieczeństwa i zachowując czujność podczas korzystania ze swoich urządzeń i poruszania się po świecie online, możesz znacznie zmniejszyć ryzyko stania się ofiarą infekcji złośliwym oprogramowaniem i innymi zagrożeniami cybernetycznymi.

Pełny tekst żądania okupu od Infected (MedusaLocker) Ransomware to:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Note that this server is available via Tor browser only

Follow the instructions to open the link:

Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

Teraz masz przeglądarkę Tor. W przeglądarce Tor otwórz qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Rozpocznij czat i postępuj zgodnie z dalszymi instrukcjami.
Jeśli nie możesz skorzystać z powyższego linku, skorzystaj z adresu e-mail:
ithelp02@securitymy.name
ithelp02@yousheltered.com

Aby się z nami skontaktować, utwórz nowe bezpłatne konto e-mail na stronie: protonmail.com
JEŻELI NIE SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU 72 GODZIN, CENA BĘDZIE WYŻSZA.'