Infected (MedusaLocker) Ransomware

В процессе анализа вредоносного ПО исследователи безопасности столкнулись с особенно тревожным типом программ-вымогателей, который был обозначен как зараженная программа-вымогатель. Эта конкретная угроза привлекла значительное внимание благодаря своим угрожающим возможностям и отличительным характеристикам.

Зараженная программа-вымогатель проникает в целевые устройства и затем шифрует хранящиеся на них файлы. Чтобы еще больше запутать файлы и сделать их недоступными для жертвы. Программа-вымогатель также добавляет расширение «.infected» к исходным именам файлов. Кроме того, он оставляет записку с требованием выкупа под названием «HOW_TO_BACK_FILES.html», которая служит злоумышленникам средством связи с жертвой и требования выкупа.

Стоит отметить, что ранее существовала разновидность программы-вымогателя, носившая название «Infected». Однако этот новый вариант отличается тем, что принадлежит к семейству программ-вымогателей MedusaLocker , что указывает на потенциально другой набор тактик, методов и процедур, используемых киберпреступниками, стоящими за ним.

Infected (MedusaLocker) Ransomware делает данные жертв непригодными для использования

В записке о выкупе жертвам сообщается, что их важные файлы были зашифрованы. Акцент делается на том факте, что эти файлы остаются физически нетронутыми, но становятся недоступными благодаря использованию мощного механизма шифрования, сочетающего алгоритмы RSA и AES.

Однако в примечании строго предостерегается от попыток восстановления файлов с помощью стороннего программного обеспечения, поскольку это может повредить файлы. Он также не рекомендует вносить любые изменения или переименования зашифрованных файлов, что еще больше подчеркивает опасную ситуацию, в которой находится жертва.

В Infected Ransomware говорится, что из скомпрометированной системы были собраны очень конфиденциальные или личные данные, и теперь данные хранятся на частном сервере под контролем злоумышленников. Эти данные служат рычагом воздействия: если жертва решит не выполнять требования о выкупе, киберпреступники угрожают обнародовать информацию или продать ее третьей стороне.

В попытке установить контакт записка о выкупе предоставляет несколько возможностей. Он предлагает URL-адрес на базе Tor, безопасную и анонимную сеть, для инициирования связи с операторами программ-вымогателей. Кроме того, в примечании указаны адреса электронной почты, в частности ithelp02@securitymy.name и ithelp02@youshelted.com, в качестве альтернативных способов связи.

Для дальнейшего усиления давления вводится чувствительный к времени элемент. Сумма выкупа может быть увеличена, если жертва не сможет инициировать контакт с операторами в течение строгих 72 часов, что создает ощущение безотлагательности и усугубляет дилемму жертвы.

Обязательно внедрите эффективные меры безопасности против заражения вредоносным ПО.

Эффективные меры безопасности против заражения вредоносным ПО имеют решающее значение для защиты ваших устройств и данных от вредоносных программных угроз. Вот несколько мер, которые пользователи могут реализовать для повышения своей безопасности:

• • Установите антивирусное программное обеспечение . Используйте на своих устройствах надежное антивирусное программное обеспечение. Поддерживайте актуальность этих программ и включите сканирование в режиме реального времени для обнаружения и удаления вредоносных программ.

• • Регулярно обновляйте программное обеспечение . Убедитесь, что ваша операционная система, приложения и программное обеспечение постоянно обновляются с использованием последних обновлений безопасности. Киберпреступники часто нацелены на известные уязвимости.

• • Используйте брандмауэр . Включите брандмауэр на своих устройствах для мониторинга и контроля входящего и исходящего сетевого трафика. Это может помочь предотвратить несанкционированный доступ и передачу вредоносного ПО.

• • Будьте особенно осторожны с вложениями и ссылками электронной почты . С вложениями и ссылками электронной почты, особенно из неизвестных или подозрительных источников, следует обращаться осторожно. Не открывайте вложения или ссылки от непроверенных отправителей.

• • Соблюдайте безопасный просмотр : посещайте только авторитетные веб-сайты и, получая файлы из Интернета, проверяйте источник, прежде чем предпринимать какие-либо действия. Избегайте взаимодействия со всплывающей рекламой и загрузки программного обеспечения из ненадежных источников.

• • Резервное копирование ваших данных . Создайте резервную копию важных файлов и данных на внешнем диске или в безопасном облачном хранилище. В случае заражения вредоносным ПО вы можете восстановить свои данные, не платя выкуп.

• • Внедрите надежные пароли . Все ваши учетные записи должны использовать тщательно продуманные, уникальные пароли, и вам следует рассмотреть возможность использования менеджера паролей для их отслеживания. Регулярно меняйте пароли, особенно для важных учетных записей.

• • Будьте в курсе последних событий : будьте в курсе последних угроз вредоносного ПО и распространенных методов атак. Обучите себя и членов своей семьи или коллег правилам безопасной работы в Интернете.

Применяя эти меры безопасности и сохраняя бдительность при использовании своих устройств и навигации по онлайн-миру, вы можете значительно снизить риск стать жертвой заражения вредоносным ПО и других киберугроз.

Полный текст записки о выкупе Infected (MedusaLocker) Ransomware:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Note that this server is available via Tor browser only

Follow the instructions to open the link:

Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

Теперь у вас есть браузер Tor. В браузере Tor откройте qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion.

Начните чат и следуйте дальнейшим инструкциям.
Если вы не можете использовать ссылку выше, воспользуйтесь электронной почтой:
ithelp02@securitymy.name
ithelp02@youshelted.com

Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com.
ЕСЛИ ВЫ НЕ СВЯЖИТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ».