CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Ransomware-ul Medusa

https://www.bleepingcomputer.com

Ce este un ransomware ?

Un ransomware este un tip de program malware care infectează un computer sau un sistem de rețea și criptează sau blochează accesul la fișierele și datele importante ale utilizatorului.

Persoanele rău intenționate folosesc atacurile de tip ransomware pentru a obține beneficii financiare de la victime, cerând plata în schimbul instrumentelor de decriptare.

Exemple de ransomware: MEDUSA, Tils, SHTORM și Saw.

MEDUSA este un ransomware care criptează datele, adaugă extensia .MEDUSA la numele fișierelor și atașează un fișier de tip !!!READ_ME_MEDUSA!!!!.txt, care conține o notă de răscumpărare.

Exemplu de modificare a numelor de fișiere de către ransomware-ul MEDUSA:

  • Redenumește fișierele din 1.jpg în 1.jpg.MEDUSA, din 2.png în 2.png.MEDUSA.

Există mai multe categorii de programe malware denumite Medusa, inclusiv un botnet bazat pe Mirai cu capacități de ransomware, un malware Medusa pentru Android și operațiunea de ransomware MedusaLocker.

Cum acționează ransomware-ul Medusa?

Infectarea dispozitivelor cu ransomware este cauzată de descărcarea fișierelor din surse nesigure (rețele P2P, pagini de găzduire gratuită a fișierelor, site-uri web ce găzduiesc software piratat sau instrumente de cracking) și lansarea fișierelor, de accesarea linkurilor trimise de către persoane rău intenționate prin email.

De asemenea, persoanele rău intenționate folosesc programe de instalare malițioase ale aplicațiilor, tool-uri false de actualizare a software-ului și troieni pentru a distribui programe malware de tip ransomware.

Atacatorii folosesc în mod obișnuit documente MS Office, PDF, arhive sau fișiere ISO ce conțin la bază fișiere malițioase, executabile sau fișiere JavaScript pentru a infecta calculatoarele cu ransomware.

Totodată, atacatorii pot folosi Windows encryptor pentru a configura modul în care vor fi criptate fișierele pe dispozitiv din linie de comandă.

De exemplu, prin argumentul -v din linie de comandă, ransomware-ul va afișa o consolă, prezentând mesaje de stare pe măsură ce criptează un dispozitiv.

Într-o rulare în care nu se specifică niciun argument în linia de comandă, ransomware-ul Medusa va închide peste 280 de servicii și procese Windows pentru programe care pot împiedica criptarea fișierelor. Printre acestea se numără servicii Windows pentru servere de e-mail, servere de baze de date, servere de backup și software de securitate.

Ransomware-ul va șterge apoi copiile Shadow Volume Copies din Windows pentru a împiedica utilizarea acestora în vederea recuperării fișierelor.

Ca un pas suplimentar pentru a preveni restaurarea fișierelor din copiile de rezervă, ransomware-ul Medusa va rula următoarea comandă pentru a șterge fișierele stocate local asociate cu programele de rezervă, cum ar fi Windows Backup.

Această comandă va șterge, de asemenea, hard disk-urile virtuale (VHD) utilizate de mașinile virtuale.

Măsuri de protecție împotriva programelor malware cu ransomware:

  • Verificați orice mail-uri suspecte, în special cele primite de la adrese necunoscute;
  • Nu accesați atașamentele sau link-urile din cadrul email-urilor suspecte;
  • Descărcați software numai de pe paginile și magazinele oficiale;
  • Nu descărcați aplicații sau programe de pe pagini suspecte;
  • Verificați întotdeauna ca sistemul de operare și programele instalate să fie actualizate;
  • Utilizarea unui software antivirus pentru scanarea dispozitivelor.

Sursă: https://www.pcrisk.com/removal-guides/26074-medusa-ransomware

https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |