Computer Security O MedusaLocker Continua Sendo uma das Principais Ameaças...

O MedusaLocker Continua Sendo uma das Principais Ameaças de Ransomware no Momento

Os pesquisadores que trabalham no Cisco Talos estão de olho no MedusaLocker, um ransomware de natureza particularmente prolífica que vê muita atividade durante a pandemia. Esse ransomware foi detectado pela primeira vez em 2019, mas tem se mantido relevante ao se dividir em outras variantes, com atualizações avançadas de persistência e capacidade de se infiltrar em redes.

O MedusaLocker está combinando as táticas habituais de ransomware com a capacidade de mapear unidades de rede, forçando o remapeamento e a criptografia de conteúdo. Uma vez que o MedusaLocker estiver incorporado a um sistema em uma rede, ele poderá causar grandes danos a todas as unidades dessa rede.

O que Torna o MedusaLocker Tão Perigoso?

O MedusaLocker inicia as suas operações, copiando-se no diretório% APPDATA%\Roaming\ e configurando tarefas agendadas no Windows em intervalos de 15 minutos. Isso é feito pelo motivo de encontrar e criptografar arquivos de mídia conectados ao sistema infectado na rede. Os usuários são aconselhados a desconectar as máquinas infectadas da rede imediatamente para evitar a propagação da infecção. O ransomware usa a extensão '.encrypted' nos arquivos afetados, com uma nota de resgate gerada em todos os diretórios. A criptografia é da variedade AES 256, com uma chave RSA-2048 no executável.

O que torna o MedusaLocker ainda mais perigoso ainda é a sua capacidade de excluir o 'vssadmin' do Windows, um utilitário usado para restaurar cópias do Shadow Volume e backups. Supondo-se que os usuários pudessem utilizar backups para restaurar dados, eles não teriam que pagar nenhum resgate aos invasores. Além disso, o MedusaLocker tenta reconectar o sistema infectado à rede, usando as entradas do Registro do Windows para que isso aconteça. É necessário usar um método de desconexão física para impedir que isso aconteça, por exemplo, desconectando o cabo.

Que Medidas podem ser Tomadas pelo Usuário Médio?

Os pesquisadores de segurança recomendam a aplicação de filtros de email de spam para melhor se proteger contra o MedusaLocker. Outras medidas que devem ser tomadas incluem a atualização regular de todos os componentes, a habilitação da autenticação multi-fator e o uso de um software de segurança atualizado.

Manter os backups offline é uma excelente maneira de conservar os seus dados em segurança, mas isso só deve ser feito com sistemas decididamente limpos de qualquer tipo de malware. É necessário evitar o uso de produtos de segurança desatualizados, pois o MedusaLocker está bloqueando os truques usuais de engenharia reversa e análise.

O MedusaLocker Ransomware foi descoberto pela primeira vez em setembro de 2019 pela MalwareHunterTeam. Em menos de 30 dias desde que foi descoberto, uma média de 10 envios era feita diariamente, de acordo com o site da ID Ransomware. Isso pode não parecer muito, mas para um novo ransomware, foi mais do que suficiente para se dar a conhecer. Depois desse primeiro mês, avisos e notícias do governo começaram a alertar os usuários sobre o novo perigo.

Desde a sua descoberta inicial, ele conseguiu se manter relativamente impopular, sendo a sua última atividade significativa em fevereiro de 2020. Comparado aos mais populares Ryuk, DoppelPaymer, Maze e Sodinokibi, o MedusaLocker tem sido menos prolífico em atingir grandes corporações.

O MedusaLocker Continua Sendo uma das Principais Ameaças de Ransomware no Momento capturas de tela

medusalocker
Carregando...