Infected (MedusaLocker) Ransomware

在分析惡意軟體的過程中，安全研究人員遇到了一種特別令人擔憂的勒索軟體，該勒索軟體被指定為受感染的勒索軟體。這種特定威脅因其威脅能力和獨特特徵而引起了廣泛關注。

受感染的勒索軟體透過滲透目標裝置進行操作，然後對儲存在其中的檔案進行加密。進一步混淆文件並使受害者無法存取它們。勒索軟體也會將「.infected」副檔名附加到其原始檔案名稱中。此外，它還留下了一張名為「HOW_TO_BACK_FILES.html」的勒索字條，作為攻擊者與受害者溝通並要求支付贖金的一種方式。

值得注意的是，之前有一個名為「Infected」的勒索軟體。然而，這種新變種的獨特之處在於它屬於MedusaLocker 勒索軟體家族，這表明其背後的網路犯罪分子可能採用了一套不同的策略、技術和程序。

受感染的 (MedusaLocker) 勒索軟體導致受害者的資料無法使用

勒索信告知受害者他們的重要文件已被加密。重點是這些檔案在物理上保持完整，但透過使用結合 RSA 和 AES 演算法的強大加密機制使其無法存取。

但是，該說明嚴厲警告不要嘗試使用第三方軟體進行任何文件恢復，因為這可能會損壞文件。它還建議不要對加密檔案進行任何更改或重新命名，進一步強調受害者發現自己所處的危險境地。

受感染的勒索軟體指出，已從受感染的系統中收集了高度敏感或個人數據，並且這些數據現在儲存在攻擊者控制下的私人伺服器上。這些數據起到了槓桿作用——如果受害者選擇不遵守贖金要求，網路犯罪分子就會威脅將資訊公開或出售給第三方。

為了建立聯繫，勒索信提供了多種途徑。它提供基於 Tor 的 URL（安全且匿名的網路），用於啟動與勒索軟體營運商的通訊。此外，該註釋還提供了電子郵件地址，特別是 ithelp02@securitymy.name 和 ithelp02@yousheltered.com，作為替代聯絡方式。

為了進一步增強壓力，引入了時間敏感元件。如果受害者未能在嚴格的 72 小時內與業者聯繫，贖金金額可能會增加，造成緊迫感並加劇受害者的困境。

確保針對惡意軟體感染實施有效的安全措施

針對惡意軟體感染的有效安全措施對於保護您的裝置和資料免受有害軟體威脅至關重要。使用者可以採取以下幾項措施來增強安全性：

• • 安裝反惡意軟體：在您的裝置上使用信譽良好的反惡意軟體。將這些程式保持最新並啟用即時掃描以檢測和刪除惡意軟體。

• • 定期更新軟體：確保您的作業系統、應用程式和軟體保持最新的安全修補程式。網路犯罪分子經常針對已知的漏洞。

• • 使用防火牆：在裝置上啟用防火牆來監視和控制傳入和傳出的網路流量。這有助於防止未經授權的存取和惡意軟體通訊。

• • 對電子郵件附件和連結要特別小心：應謹慎處理電子郵件附件和鏈接，尤其是來自未知或可疑來源的電子郵件附件和連結。避免開啟來自未經驗證的寄件者的附件或連結。

• • 實施安全瀏覽：僅訪問信譽良好的網站，並且在從互聯網獲取文件時，請在採取任何操作之前驗證來源。避免與彈出廣告互動或從不可信來源下載軟體。

• • 備份您的資料：將重要文件和資料備份到外部磁碟機或安全的雲端儲存服務。如果發生惡意軟體感染，您可以恢復資料而無需支付贖金。

• • 實施強密碼：您的所有帳戶都應使用精心建立的唯一密碼，並且您應該考慮使用密碼管理器來追蹤它們。定期更改密碼，尤其是重要帳戶。

• • 保持自我教育：隨時了解最新的惡意軟體威脅和常見攻擊技術。對您自己和您的家人或同事進行安全線上實務教育。

透過實施這些安全措施並在使用裝置和瀏覽線上世界時保持警惕，您可以大幅降低成為惡意軟體感染和其他網路威脅受害者的風險。

受感染（MedusaLocker）勒索軟體的勒索字條全文為：

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Note that this server is available via Tor browser only

Follow the instructions to open the link:

Type the addres "hxxps://www.torproject.org" in your Internet browser. It opens the Tor site.

Press "Download Tor", then press "Download Tor Browser Bundle", install and run it.

現在你有了 Tor 瀏覽器。在 Tor 瀏覽器中開啟 qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

開始聊天並按照進一步的說明進行操作。
如果您無法使用上述鏈接，請使用電子郵件：
ithelp02@securitymy.name
ithelp02@yousheltered.com

若要聯絡我們，請在網站上建立一個新的免費電子郵件帳戶：protonmail.com
如果您不在 72 小時內聯絡我們，價格將會更高。