Medusabtc Ransomware
Jedynym celem zagrożenia MedusaBtc Ransomware jest zablokowanie plików ofiar i uniemożliwienie ich użycia. Zaatakowane pliki mogą pochodzić z wielu różnych typów plików – dokumentów, plików PDF, obrazów, zdjęć, audio, wideo, archiwów, baz danych itp. Ofiary nie będą już mogły uzyskać dostępu do zaszyfrowanych danych podczas przywracania bez wymaganego odszyfrowania klucz jest praktycznie niemożliwy. Atakujący próbują następnie wyłudzić pieniądze od zaatakowanych użytkowników, obiecując im przesłanie narzędzia programowego i klucza potrzebnego do odblokowania plików.
Jeśli chodzi konkretnie o MedusaBtc Ransomware, zagrożenie to jest klasyfikowane jako wariant rodziny złośliwego oprogramowania Xorist. Dodaje „.medusabtc" do nazw wszystkich zablokowanych plików, a następnie dostarcza do zainfekowanego systemu dwie notatki z okupem. Użytkownikom zostanie wyświetlone wyskakujące okienko i plik tekstowy o nazwie „JAK ODSZYFROWAĆ PLIKI.txt". Przekaz zawarty w obu miejscach jest identyczny. Fakt, że żądanie okupu jest w całości napisane w języku portugalskim, wyraźnie wskazuje, że atakujący skupiają się na krajach mówiących głównie w tym konkretnym języku.
Żądania MedusaBtc Ransomware
Według notatek dotyczących okupu hakerzy chcą otrzymać „niewielką opłatę" w zamian za narzędzie do deszyfrowania i klucz. Aby uzyskać dalsze szczegóły dotyczące płatności, użytkownicy proszeni są o skontaktowanie się z dwoma podanymi adresami e-mail - „medusabtc@protonmail.com" i „btcpaynow@protonmail.com". Wiadomość musi zawierać ciąg identyfikatora znaleziony w nocie okupu. Hakerzy grożą, że jeśli zaatakowani użytkownicy ujawnią wiadomość z żądaniem okupu lub ryzykują zablokowaniem. Ponadto ofiarom mówi się, że muszą skontaktować się z hakerami przed konkretnymi danymi wymienionymi w notatce.
Pełny tekst w oryginalnej formie to:
'******** wszystkie twoje dane zostały zaszyfrowane *******
Todos arquivos estão criptografados se tornaram .medusabtc
a unica forma para arquivos/sistema voltar ao normal é
obter chave especial + deszyfrator
entre em contato com nossa equipe atraves dos dois e-maile com ID
vou te enviar chave especial + decryptor por apenas uma pequena taksony
e-mail: medusabtc@protonmail.com ID--
e-mail: btcpaynow@protonmail.com
obs:1 não há necessidade de formatar
2 não renomeie a extensão do arquivo,
3 não poste esta mensagem de resgate em nenhum site,
4 não usuń os arquivos criptografados
este email é o único contato. se você postar a mensagem de resgate,
o e-mail será bloqueado e você não receberá a chave exclusiva.
contacte-nos em até 18/10/2021 não perca tempo"
