Infected (MedusaLocker) Ransomware

在分析恶意软件的过程中，安全研究人员遇到了一种特别令人担忧的勒索软件，该勒索软件被指定为受感染的勒索软件。这种特定威胁因其威胁能力和独特特征而引起了广泛关注。

受感染的勒索软件通过渗透目标设备进行操作，然后对存储在其中的文件进行加密。进一步混淆文件并使受害者无法访问它们。勒索软件还会将“.infected”扩展名附加到其原始文件名中。此外，它还留下了一张名为“HOW_TO_BACK_FILES.html”的勒索字条，作为攻击者与受害者沟通并要求支付赎金的一种方式。

值得注意的是，之前有一个名为“Infected”的勒索软件。然而，这种新变种的独特之处在于它属于MedusaLocker 勒索软件家族，这表明其背后的网络犯罪分子可能采用了一套不同的策略、技术和程序。

受感染的 (MedusaLocker) 勒索软件导致受害者的数据无法使用

勒索信告知受害者他们的重要文件已被加密。重点是这些文件在物理上保持完整，但通过使用结合 RSA 和 AES 算法的强大加密机制使其无法访问。

但是，该说明严厉警告不要尝试使用第三方软件进行任何文件恢复，因为这可能会损坏文件。它还建议不要对加密文件进行任何更改或重命名，进一步强调受害者发现自己所处的危险境地。

受感染的勒索软件指出，已从受感染的系统中收集了高度敏感或个人数据，并且这些数据现在存储在攻击者控制下的私人服务器上。这些数据起到了杠杆作用——如果受害者选择不遵守赎金要求，网络犯罪分子就会威胁将信息公开或出售给第三方。

为了建立联系，勒索信提供了多种途径。它提供基于 Tor 的 URL（一个安全且匿名的网络），用于启动与勒索软件运营商的通信。此外，该注释还提供了电子邮件地址，特别是 ithelp02@securitymy.name 和 ithelp02@yousheltered.com，作为替代联系方式。

为了进一步增强压力，引入了时间敏感元件。如果受害者未能在严格的 72 小时内与运营商联系，赎金金额可能会增加，从而造成紧迫感并加剧受害者的困境。

确保针对恶意软件感染实施有效的安全措施

针对恶意软件感染的有效安全措施对于保护您的设备和数据免受有害软件威胁至关重要。用户可以采取以下几项措施来增强安全性：

• • 安装反恶意软件：在您的设备上使用信誉良好的反恶意软件。使这些程序保持最新并启用实时扫描以检测和删除恶意软件。

• • 定期更新软件：确保您的操作系统、应用程序和软件保持最新的安全补丁。网络犯罪分子经常针对已知的漏洞。

• • 使用防火墙：在设备上启用防火墙来监视和控制传入和传出的网络流量。这有助于防止未经授权的访问和恶意软件通信。

• • 对电子邮件附件和链接要特别小心：应谨慎处理电子邮件附件和链接，尤其是来自未知或可疑来源的电子邮件附件和链接。避免打开来自未经验证的发件人的附件或链接。

• • 实行安全浏览：仅访问信誉良好的网站，并且在从互联网获取文件时，请在采取任何操作之前验证来源。避免与弹出广告互动或从不可信来源下载软件。

• • 备份您的数据：将重要文件和数据备份到外部驱动器或安全的云存储服务。如果发生恶意软件感染，您可以恢复数据而无需支付赎金。

• • 实施强密码：您的所有帐户都应使用精心构建的唯一密码，并且您应该考虑使用密码管理器来跟踪它们。定期更改密码，尤其是重要帐户。

• • 保持自我教育：随时了解最新的恶意软件威胁和常见攻击技术。对您自己和您的家人或同事进行安全在线实践教育。

通过实施这些安全措施并在使用设备和浏览在线世界时保持警惕，您可以显着降低成为恶意软件感染和其他网络威胁受害者的风险。

受感染（MedusaLocker）勒索软件的勒索字条全文为：

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Note that this server is available via Tor browser only

Follow the instructions to open the link:

Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

现在你有了 Tor 浏览器。在 Tor 浏览器中打开 qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

开始聊天并按照进一步的说明进行操作。
如果您无法使用上述链接，请使用电子邮件：
ithelp02@securitymy.name
ithelp02@yousheltered.com

要联系我们，请在网站上创建一个新的免费电子邮件帐户：protonmail.com
如果您不在 72 小时内联系我们，价格将会更高。