Infected (MedusaLocker) Ransomware

ในระหว่างกระบวนการวิเคราะห์มัลแวร์ นักวิจัยด้านความปลอดภัยได้พบแรนซัมแวร์ประเภทที่เกี่ยวข้องเป็นพิเศษ ซึ่งได้รับการกำหนดให้เป็นแรนซัมแวร์ที่ติดไวรัส ภัยคุกคามเฉพาะนี้ได้รับความสนใจอย่างมากเนื่องจากความสามารถในการคุกคามและลักษณะเฉพาะที่โดดเด่น

Ransomware ที่ติดไวรัสทำงานโดยการแทรกซึมอุปกรณ์เป้าหมายแล้วดำเนินการเข้ารหัสไฟล์ที่จัดเก็บไว้ในอุปกรณ์เหล่านั้น เพื่อทำให้ไฟล์สับสนมากขึ้นและทำให้เหยื่อไม่สามารถเข้าถึงได้ แรนซัมแวร์ยังเพิ่มนามสกุล '.infected' ต่อท้ายชื่อไฟล์ดั้งเดิมอีกด้วย นอกจากนี้ ยังทิ้งข้อความเรียกค่าไถ่ชื่อ 'HOW_TO_BACK_FILES.html' ซึ่งทำหน้าที่เป็นช่องทางให้ผู้โจมตีสื่อสารกับเหยื่อและเรียกร้องค่าไถ่

เป็นที่น่าสังเกตว่ามีแรนซัมแวร์สายพันธุ์ก่อนหน้านี้ที่มีชื่อว่า 'Infected' อย่างไรก็ตาม ตัวแปรใหม่นี้มีความโดดเด่นจากการเป็นของตระกูล MedusaLocker Ransomware ซึ่งบ่งชี้ถึงชุดกลยุทธ์ เทคนิค และขั้นตอนที่แตกต่างออกไปที่อาชญากรไซเบอร์อยู่เบื้องหลัง

มัลแวร์เรียกค่าไถ่ (MedusaLocker) ที่ติดไวรัสทำให้ข้อมูลของเหยื่อใช้งานไม่ได้

หมายเหตุเรียกค่าไถ่แจ้งให้เหยื่อทราบว่าไฟล์สำคัญของพวกเขาถูกเข้ารหัส สิ่งสำคัญอยู่ที่ความจริงที่ว่าไฟล์เหล่านี้ยังคงสภาพทางกายภาพ แต่ไม่สามารถเข้าถึงได้ผ่านการใช้กลไกการเข้ารหัสที่ทรงพลังซึ่งรวมอัลกอริธึม RSA และ AES

อย่างไรก็ตาม ข้อความดังกล่าวเตือนอย่างเข้มงวดไม่ให้พยายามกู้คืนไฟล์ด้วยซอฟต์แวร์บุคคลที่สาม เนื่องจากอาจทำให้ไฟล์เสียหายได้ นอกจากนี้ยังแนะนำไม่ให้มีการแก้ไขหรือเปลี่ยนชื่อไฟล์ที่เข้ารหัส โดยเน้นย้ำถึงสถานการณ์ที่ไม่ปลอดภัยที่เหยื่อพบว่าตัวเอง

Ransomware ที่ติดไวรัสระบุว่าข้อมูลส่วนบุคคลหรือที่มีความละเอียดอ่อนสูงได้รับการรวบรวมจากระบบที่ถูกบุกรุก และตอนนี้ข้อมูลจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ส่วนตัวภายใต้การควบคุมของผู้โจมตี ข้อมูลนี้ทำหน้าที่เป็นประโยชน์ หากเหยื่อเลือกที่จะไม่ปฏิบัติตามข้อเรียกร้องค่าไถ่ อาชญากรไซเบอร์ก็ขู่ว่าจะเปิดเผยข้อมูลต่อสาธารณะหรือขายให้กับบุคคลที่สาม

ในความพยายามที่จะสร้างการติดต่อ บันทึกค่าไถ่ให้หลายช่องทาง โดยนำเสนอ URL ที่ใช้ Tor ซึ่งเป็นเครือข่ายที่ปลอดภัยและไม่เปิดเผยตัวตน สำหรับการเริ่มต้นการสื่อสารกับผู้ให้บริการแรนซัมแวร์ นอกจากนี้ บันทึกดังกล่าวยังระบุที่อยู่อีเมล โดยเฉพาะ ithelp02@securitymy.name และ ithelp02@yousheltered.com เป็นทางเลือกในการติดต่อ

เพื่อเพิ่มแรงกดดันให้มากขึ้น จึงมีการใช้องค์ประกอบที่ไวต่อเวลา จำนวนเงินค่าไถ่อาจเพิ่มขึ้นหากเหยื่อไม่สามารถติดต่อกับเจ้าหน้าที่ภายในกรอบเวลา 72 ชั่วโมงที่เข้มงวด ทำให้เกิดความรู้สึกเร่งด่วนและยิ่งทำให้สถานการณ์กลืนไม่เข้าคายไม่ออกของเหยื่อ

ตรวจสอบให้แน่ใจว่าได้ใช้มาตรการรักษาความปลอดภัยที่มีประสิทธิภาพเพื่อป้องกันการติดมัลแวร์

มาตรการรักษาความปลอดภัยที่มีประสิทธิภาพต่อการติดมัลแวร์มีความสำคัญอย่างยิ่งในการปกป้องอุปกรณ์และข้อมูลของคุณจากภัยคุกคามซอฟต์แวร์ที่เป็นอันตราย ต่อไปนี้เป็นมาตรการหลายประการที่ผู้ใช้สามารถนำไปใช้เพื่อเพิ่มความปลอดภัย:

• • ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงบนอุปกรณ์ของคุณ อัปเดตโปรแกรมเหล่านี้ให้ทันสมัยอยู่เสมอและเปิดใช้งานการสแกนแบบเรียลไทม์เพื่อตรวจจับและลบมัลแวร์

• • อัปเดตซอฟต์แวร์เป็นประจำ : ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ของคุณได้รับการอัปเดตด้วยแพตช์ความปลอดภัยล่าสุด อาชญากรไซเบอร์มักมุ่งเป้าไปที่ช่องโหว่ที่ทราบ

• • ใช้ไฟร์วอลล์ : เปิดใช้งานไฟร์วอลล์บนอุปกรณ์ของคุณเพื่อตรวจสอบและควบคุมการรับส่งข้อมูลเครือข่ายขาเข้าและขาออก วิธีนี้สามารถช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและการสื่อสารมัลแวร์

• • ระมัดระวังเป็นพิเศษกับไฟล์แนบและลิงก์อีเมล : ไฟล์แนบและลิงก์อีเมล โดยเฉพาะอย่างยิ่งจากแหล่งที่ไม่รู้จักหรือน่าสงสัย ควรได้รับการจัดการอย่างระมัดระวัง หลีกเลี่ยงการเปิดไฟล์แนบหรือลิงก์จากผู้ส่งที่ไม่ได้รับการยืนยัน

• • ฝึกใช้ Safe Browsing : เยี่ยมชมเว็บไซต์ที่มีชื่อเสียงเท่านั้น และเมื่อรับไฟล์จากอินเทอร์เน็ต ให้ตรวจสอบแหล่งที่มาก่อนดำเนินการใดๆ หลีกเลี่ยงการโต้ตอบกับโฆษณาป๊อปอัปหรือดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ

• • สำรองข้อมูลของคุณ : สำรองไฟล์และข้อมูลสำคัญของคุณไปยังไดรฟ์ภายนอกหรือบริการจัดเก็บข้อมูลบนคลาวด์ที่ปลอดภัย ในกรณีที่มีการติดมัลแวร์ คุณสามารถกู้คืนข้อมูลของคุณได้โดยไม่ต้องจ่ายค่าไถ่

• • ใช้รหัสผ่านที่รัดกุม : บัญชีทั้งหมดของคุณควรใช้รหัสผ่านที่สร้างมาอย่างดีและไม่ซ้ำใคร และคุณควรพิจารณาใช้ตัวจัดการรหัสผ่านเพื่อติดตามรหัสผ่านเหล่านั้น เปลี่ยนรหัสผ่านเป็นประจำ โดยเฉพาะบัญชีที่สำคัญ

• • ให้ความรู้แก่ตัวเอง : รับทราบข้อมูลเกี่ยวกับภัยคุกคามมัลแวร์ล่าสุดและเทคนิคการโจมตีทั่วไป ให้ความรู้แก่ตนเองและสมาชิกในครอบครัวหรือเพื่อนร่วมงานเกี่ยวกับแนวทางปฏิบัติทางออนไลน์ที่ปลอดภัย

ด้วยการใช้มาตรการรักษาความปลอดภัยเหล่านี้และรักษาความระมัดระวังในขณะที่ใช้อุปกรณ์ของคุณและท่องโลกออนไลน์ คุณสามารถลดความเสี่ยงในการตกเป็นเหยื่อของการติดมัลแวร์และภัยคุกคามทางไซเบอร์อื่น ๆ ได้อย่างมาก

ข้อความเต็มของบันทึกเรียกค่าไถ่ของ Infected (MedusaLocker) Ransomware คือ:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Note that this server is available via Tor browser only

Follow the instructions to open the link:

Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

ตอนนี้คุณมีเบราว์เซอร์ของ Tor แล้ว ในเบราว์เซอร์ของ Tor ให้เปิด qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

เริ่มการแชทและปฏิบัติตามคำแนะนำเพิ่มเติม
หากคุณไม่สามารถใช้ลิงก์ด้านบนได้ ให้ใช้อีเมล:
ithelp02@securitymy.name
ithelp02@yousheltered.com

หากต้องการติดต่อเรา โปรดสร้างบัญชีอีเมลใหม่ฟรีบนเว็บไซต์: protonmail.com
หากคุณไม่ติดต่อเราภายใน 72 ชั่วโมง ราคาจะสูงขึ้น'