Програмне забезпечення-вимагач MedusaLocker було вперше виявлено у вересні 2019 року та з тих пір заразило та зашифрувало системи в багатьох секторах, головним чином націленим на сектор охорони здоров’я. Актори MedusaLocker переважно покладаються на вразливості у віддалених службах для доступу до мереж жертв. Актори використовують такі служби, як RDP, PsExec і SMB, щоб заразити інші хости в мережі жертви.
Експерти SalvageData рекомендують профілактичні заходи безпеки даних, такі як регулярне резервне копіювання, ефективні методи кібербезпеки та оновлення програмного забезпечення для захисту від атак програм-вимагачів. і,у разі атаки програм-вимагачів негайно зв’яжіться з нашими експертами з відновлення програм-вимагачів.
MedusaLocker — це програма-вимагач, яка, як відомо, націлена на численні організації, особливо на медичні та фармацевтичні компанії. Він працює як модель Ransomware-as-a-Service (RaaS) на основі спостережуваного розподілу виплат викупу. Хоча він має схожу назву, немає чітких доказів того, що MedusaLocker має будь-який зв’язок із програмним забезпеченням-вимагачем Medusa.
Усе, що ми знаємо про програму-вимагач MedusaLocker
Підтверджене ім'я
- Вірус MedusaLocker
Тип загрози
- програми-вимагачі
- Криптовірус
- Шафка для файлів
- Подвійне вимагання
Чи є безкоштовний дешифратор?Ні, загальнодоступного дешифрувальника програм-вимагачів MedusaLocker немає.Методи розповсюдження
- Фішингові листи
- Віддалені служби
Наслідки
- Файли зашифровані та заблоковані
- Витік даних
- Подвійне вимагання
Що міститься в записці про викуп MedusaLocker
Записка про викуп поміщається в кожну папку та описує, як спілкуватися зі зловмисниками та сплачувати викуп у біткойнах. Він також застерігає жертв від перейменування, модифікації або спроби розшифрувати зашифровані файли за допомогою сторонніх дешифраторів, заявляючи, що це призведе до остаточного їх пошкодження, і радить не змінювати чи перейменовувати зашифровані файли.
Якщо ви розумієте, що стали жертвою програм-вимагачів, зв’яжіться з експертами SalvageData з видалення програм-вимагачів, які нададуть вам безпечну послугу відновлення даних і видалення програм-вимагачів після атаки.
Методи зараження та шифрування програми-вимагача MedusaLocker
Програма-вимагач MedusaLocker використовує різні методи для поширення та зараження інших хостів у мережі жертви.
- Віддалені служби: програма-вимагач MedusaLocker використовує віддалені служби, такі як протокол віддаленого робочого стола (RDP), PsExec і блок повідомлень сервера (SMB).
- Фішингові кампанії: програма-вимагач MedusaLocker також може проникати в мережі через фішингові кампанії, у яких зловмисне програмне забезпечення вкладається в електронні листи.
Щойно програма-вимагач MedusaLocker отримує доступ до мережі, вона дотримується типового життєвого циклу атаки програм-вимагачів і блокує жертвам доступ до їхніх даних. Він шифрує дані жертви за допомогою комбінації AES і RSA-2048. MedusaLocker додатково забезпечить стійкість, видаливши локальні резервні копії, вимкнувши відновлення під час запуску та, зрештою, розмістивши повідомлення про викуп у кожній папці, що містить файл із зашифрованими даними зламаного хоста.
Більше читання:Pysa Ransomware: Повний посібник
Не виконуйте вимоги викупу!Зверніться до місцевих органів влади та служби видалення програм-вимагачів, щоб відновити ваші файли та усунути будь-яку потенційну загрозу.
Відомі IOC програми-вимагачі MedusaLocker
IOC розшифровується як «індикатор компромісу» в контексті кібербезпеки. Це криміналістичний термін, який стосується доказів на пристрої, які вказують на порушення безпеки. Незважаючи на те, що дані IOC збираються після підозрілого інциденту, події безпеки або несподіваних викликів з мережі, належною практикою кібербезпеки є регулярна перевірка даних IOC для виявлення незвичайних дій і вразливостей. IOC включає розширення файлів, IP-адреси, хеші файлів, адреси електронної пошти, платіжні гаманці та імена файлів повідомлень про викуп. Оскільки MedusaLocker є RaaS, його IOC змінюватимуться залежно від варіанту та банди кіберзлочинців, яка ним керує.Порада MedusaLocker CISAтакож включає наступні IOC:Відомі імена файлів записок про викуп:
- how_to_ recover_data.html
- how_to_recover_data.html.marlock01
- інструкції.html
- READINSTRUCTION.html
- !!!ЯК_РОЗШИФУВАТИ!!!.
Відомі розширення зашифрованих файлів:
- .1btc
- .matlock20
- .читати інструкції
- .bec
- .mylock
- .deadfilesgr
- .lockfiles
- .tyco
- .fileslock
- .zoomzoom
- .marlock08
- .marlock25
Як протистояти атаці програми-вимагача MedusaLocker
Першим кроком до відновлення після атаки MedusaLocker є ізоляція інфікованого комп’ютера шляхом від’єднання від Інтернету та видалення всіх підключених пристроїв. Потім необхідно звернутися до місцевої влади. У випадку з резидентами та підприємствами США цеФБРіЦентр скарг на злочини в Інтернеті (IC3).Щоб повідомити про атаку програм-вимагачів, ви повинні зібрати всю можливу інформацію про неї, зокрема:
- Скріншоти записки про викуп
- Зв'язок із загрозливими суб'єктами (якщо вони у вас є)
- Зразок зашифрованого файлу
Однак, якщо ви віддаєте перевагузверніться до професіоналів, тоді найкращезалишити кожну заражену машину такою, як вона єі попроситислужба екстреного видалення програм-вимагачів. Ці професіонали здатні швидко зменшити шкоду, зібрати докази, потенційно скасувати шифрування та відновити систему.
Перезапуск або завершення роботи системи може зашкодити відновленню системи. Захоплення оперативної пам’яті живої системи може допомогти отримати ключ шифрування, а перехоплення файлу-дропера, тобто файлу, який виконує зловмисне корисне навантаження, може допомогти переробити саме шифрування та призвести до дешифрування даних або кращого розуміння того, як воно працює.
1. Зверніться до свого постачальника служби реагування на інциденти
Реагування на кіберінциденти – це процес реагування на інциденти кібербезпеки та управління ними. Incident Response Retainer — це угода про надання послуг із постачальником кібербезпеки, яка дозволяє організаціям отримувати зовнішню допомогу щодо інцидентів кібербезпеки. Він надає організаціям структуровану форму експертних знань і підтримки через партнера з безпеки, що дозволяє їм швидко й ефективно реагувати під час кіберінциденту. Фіксатор реагування на інцидент забезпечує спокій для організацій, пропонуючи експертну підтримку до та після інциденту кібербезпеки. Специфічний характер і структура служби реагування на інциденти залежатимуть від постачальника та вимог організації. Хороший механізм реагування на інциденти має бути надійним, але гнучким, надавати перевірені послуги для підвищення довгострокової безпеки організації.Якщо ви зв’яжетеся зі своїм постачальником ІЧ-послуг, він негайно візьме на себе роботу та проведе вас на кожному етапі відновлення програми-вимагача.Однак якщо ви вирішите самостійно видалити програму-вимагач і відновити файли разом зі своєю командою ІТ, ви можете виконати наступні кроки.
2. Визначте зараження програмою-вимагачем
Ви можете визначити, яка програма-вимагач заразила вашу машину за розширенням файлу (деякі програми-вимагачі використовують розширення файлу як назву),використання інструменту ідентифікації програм-вимагачів, або це буде на записці про викуп. Маючи цю інформацію, ви можете шукати відкритий ключ дешифрування.
3. Видаліть програми-вимагачі та ліквідуйте набори експлойтів
Перш ніж відновлювати свої дані, ви повинні переконатися, що ваш пристрій вільний від програм-вимагачів і що зловмисники не зможуть здійснити нову атаку за допомогою наборів експлойтів або інших уразливостей. Служба видалення програм-вимагачів може видалити програми-вимагачі, створити документ криміналістики для дослідження, усунути вразливості та відновити ваші дані.
4. Використовуйте резервну копію для відновлення даних
Важливість резервного копіювання для відновлення даних важко переоцінити, особливо в контексті різних потенційних ризиків і загроз для цілісності даних. Резервне копіювання є критично важливим компонентом комплексної стратегії захисту даних. Вони забезпечують засоби для відновлення після різноманітних загроз, забезпечуючи безперервність операцій і збереження цінної інформації. Перед лицем атак програм-вимагачів, коли зловмисне програмне забезпечення шифрує ваші дані та вимагає плату за їх оприлюднення, наявність резервної копії дає змогу відновити вашу інформацію, не піддаючись вимогам зловмисника. Обов’язково регулярно перевіряйте й оновлюйте процедури резервного копіювання, щоб підвищити їхню ефективність у захисті від можливих сценаріїв втрати даних. Існує кілька способів створення резервної копії, тому ви повинні вибрати правильний носій резервної копії та мати принаймні одну копію ваших даних, збережену за межами сайту та в автономному режимі.
5. Зверніться до служби відновлення програм-вимагачів
Якщо у вас немає резервної копії або вам потрібна допомога з видаленням зловмисного програмного забезпечення та усуненням вразливостей, зверніться до служби відновлення даних. Сплата викупу не гарантує повернення ваших даних. Єдиний гарантований спосіб відновлення кожного файлу – це наявність резервної копії. Якщо ви цього не зробите, служби відновлення даних програм-вимагачів можуть допомогти вам розшифрувати та відновити файли. Експерти SalvageData можуть безпечно відновити ваші файли та запобігти повторній атаці програм-вимагачів MedusaLocker на вашу мережу. Зв’яжіться з нашими експертами з відновлення цілодобово та без вихідних. Чого НЕ робити після атаки програм-вимагачів Ви повинніне видаляти програму-вимагач, і зберігати всі докази нападу. Це важливо дляцифрова криміналістикащоб експерти могли відстежити хакерську групу та ідентифікувати їх. Органи влади можуть використовувати дані вашої зараженої системирозслідувати напад і знайти відповідальних.Розслідування кібератак не відрізняється від будь-якого іншого кримінального розслідування: воно потребує доказів, щоб знайти зловмисників.
Запобігайте атаці програми-вимагача MedusaLocker
Запобігання програмам-вимагачам є найкращим рішенням для захисту даних, оскільки це легше та дешевше, ніж відновлення після атак. Програмне забезпечення-вимагач MedusaLocker може коштувати майбутнього вашому бізнесу та навіть закрити його двері. Вживаючи цих профілактичних заходів, окремі особи та організації можуть зменшити ризик атаки програм-вимагачів MedusaLocker і захистити свої дані від шифрування та утримання з метою викупу. Нижче наведено кілька порад, які допоможуть вам уникнути атак програм-вимагачів:
- Навчайте співробітниківпро кібербезпеку та обізнаність про фішинг, щоб допомогти їм розпізнавати та уникати спроб фішингу.
- Впровадити заходи безпеки, як-от брандмауери, антивірусне програмне забезпечення та системи виявлення вторгнень, для виявлення та блокування шкідливого трафіку.
- Будьте пильніі відстежуйте мережеву активність на наявність ознак підозрілої поведінки.
- Тримайте програмне забезпечення в актуальному станіз останніми виправленнями безпеки, щоб запобігти використанню програмами-вимагачами невиправлених уразливостей.
- Впровадити жорсткий контроль доступу,наприклад, багатофакторна автентифікація та регулярний моніторинг облікових даних, щоб запобігти доступу операторів програм-вимагачів до систем за допомогою вкрадених або слабких облікових даних.
- Захистіть некеровані пристрої та політики BYODза допомогою заходів безпеки, таких як шифрування пристрою та можливості віддаленого стирання.
- Регулярно скануйте та виправляйте програми, що виходять в Інтернетщоб оператори програм-вимагачів не могли використовувати вразливості.
