Infected (MedusaLocker) Ransomware

У процесі аналізу зловмисного програмного забезпечення дослідники безпеки натрапили на особливо тривожний тип програм-вимагачів, який було позначено як заражене програмне забезпечення-вимагач. Ця конкретна загроза привернула значну увагу завдяки своїм загрозливим можливостям і відмінним характеристикам.

Інфіковане програмне забезпечення-вимагач проникає на цільові пристрої, а потім шифрує збережені на них файли. Щоб ще більше приховати файли та зробити їх недоступними для жертви. Програмне забезпечення-вимагач також додає розширення «.infected» до оригінальних імен файлів. Крім того, він залишає за собою записку про викуп під назвою «HOW_TO_BACK_FILES.html», яка слугує для зловмисників засобом для спілкування з жертвою та вимагання викупу.

Варто зазначити, що існував попередній штам програм-вимагачів під назвою «Infected». Однак цей новий варіант вирізняється належністю до сімейства програм-вимагачів MedusaLocker , що вказує на потенційно інший набір тактик, прийомів і процедур, які використовують кіберзлочинці, які стоять за ним.

Infected (MedusaLocker) Ransomware робить дані жертв непридатними для використання

Записка про викуп повідомляє жертвам, що їхні ключові файли були піддані шифруванню. Акцент робиться на тому, що ці файли залишаються фізично недоторканими, але стають недоступними завдяки використанню потужного механізму шифрування, що поєднує алгоритми RSA та AES.

Однак у примітці суворо застерігається від будь-яких спроб відновлення файлів за допомогою стороннього програмного забезпечення, оскільки це може пошкодити файли. Він також радить відмовитися від будь-яких змін або перейменування зашифрованих файлів, ще більше підкреслюючи небезпечну ситуацію, в якій опинилася жертва.

Infected Ransomware стверджує, що дуже конфіденційні або особисті дані були зібрані зі зламаної системи, і дані тепер зберігаються на приватному сервері під контролем зловмисників. Ці дані слугують важелем впливу: якщо жертва вирішить не виконувати вимоги про викуп, кіберзлочинці погрожують оприлюднити інформацію для громадськості або продати її третій стороні.

У спробі встановити контакт записка про викуп передбачає кілька шляхів. Він пропонує URL-адресу на основі Tor, безпечну та анонімну мережу, для ініціювання зв’язку з операторами програм-вимагачів. Крім того, у примітці вказуються адреси електронної пошти, зокрема ithelp02@securitymy.name та ithelp02@yousheltered.com, як альтернативні засоби зв’язку.

Для додаткового посилення тиску вводиться чутливий до часу елемент. Сума викупу може бути збільшена, якщо жертва не зв’яжеться з операторами протягом суворого 72-годинного вікна, що створює відчуття терміновості та ускладнює дилему жертви.

Обов’язково застосуйте ефективні заходи безпеки проти зараження зловмисним програмним забезпеченням

Ефективні заходи безпеки проти зараження зловмисним програмним забезпеченням мають вирішальне значення для захисту ваших пристроїв і даних від шкідливих програмних загроз. Нижче наведено кілька заходів, які користувачі можуть застосувати для посилення своєї безпеки:

• • Встановіть програмне забезпечення для захисту від зловмисного програмного забезпечення : використовуйте надійне програмне забезпечення для захисту від зловмисного програмного забезпечення на своїх пристроях. Підтримуйте ці програми в актуальному стані та вмикайте сканування в реальному часі для виявлення та видалення шкідливих програм.

• • Регулярно оновлюйте програмне забезпечення : переконайтеся, що ваша операційна система, програми та програмне забезпечення оновлюються останніми виправленнями безпеки. Кіберзлочинці часто атакують відомі вразливості.

• • Використовуйте брандмауер : увімкніть брандмауер на своїх пристроях, щоб відстежувати та контролювати вхідний і вихідний мережевий трафік. Це може допомогти запобігти несанкціонованому доступу та обміну зловмисними програмами.

• • Будьте особливо обережні з вкладеннями та посиланнями електронної пошти : слід обережно поводитися з вкладеннями електронної пошти та посиланнями, особливо з невідомих або підозрілих джерел. Уникайте відкриття вкладень або посилань від неперевірених відправників.

• • Практикуйте безпечний перегляд : відвідуйте лише авторитетні веб-сайти та, отримуючи файли з Інтернету, перевіряйте джерело, перш ніж виконувати будь-які дії. Уникайте взаємодії зі спливаючими рекламними вікнами або завантаження програмного забезпечення з ненадійних джерел.

• • Створюйте резервні копії своїх даних : створюйте резервні копії важливих файлів і даних на зовнішньому диску або в захищеному хмарному сховищі. У разі зараження шкідливим програмним забезпеченням ви можете відновити свої дані, не сплачуючи викупу.

• • Застосуйте надійні паролі : усі ваші облікові записи мають використовувати добре складені унікальні паролі, і ви повинні розглянути можливість використання менеджера паролів, щоб відстежувати їх. Регулярно змінюйте паролі, особливо для важливих облікових записів.

• • Будьте в курсі : будьте в курсі останніх загроз зловмисного програмного забезпечення та поширених методів атак. Навчіть себе та членів вашої родини чи колег безпечним онлайн-практикам.

Запровадивши ці заходи безпеки та зберігаючи пильність під час використання своїх пристроїв і навігації в онлайн-світі, ви можете значно зменшити ризик стати жертвою зараження зловмисним програмним забезпеченням та інших кіберзагроз.

Повний текст повідомлення про викуп Infected (MedusaLocker) Ransomware:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Note that this server is available via Tor browser only

Follow the instructions to open the link:

Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

Тепер у вас є браузер Tor. У браузері Tor відкрийте qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Розпочніть чат і дотримуйтеся подальших інструкцій.
Якщо ви не можете скористатися посиланням вище, скористайтеся електронною поштою:
ithelp02@securitymy.name
ithelp02@yousheltered.com

Щоб зв’язатися з нами, створіть новий безкоштовний обліковий запис електронної пошти на сайті: protonmail.com
ЯКЩО ВИ НЕ ЗВ'ЯЖЕТЕСЯ З НАМИ ПРОТЯГОМ 72 ГОДИН, ЦІНА БУДЕ ВИЩА.'