MedusaLocker 勒索软件:完整指南
MedusaLocker 勒索软件于 2019 年 9 月首次检测到,此后已感染并加密了多个部门的系统,主要针对医疗保健部门。MedusaLocker 攻击者主要依靠远程服务中的漏洞来访问受害者的网络。攻击者使用 RDP、PsExec 和 SMB 等服务来感染受害者网络中的其他主机。
SalvageData 专家建议采取主动的数据安全措施,例如定期备份、强大的网络安全实践以及保持软件最新,以防止勒索软件攻击。和,如果发生勒索软件攻击,请立即联系我们的勒索软件恢复专家。
MedusaLocker 是一种勒索软件,已知针对多个组织,尤其是医疗保健和制药公司。它以勒索软件即服务 (RaaS) 模式运行,基于观察到的赎金支付分割。虽然它具有相似的名称,但没有明确证据表明 MedusaLocker 与 Medusa 勒索软件有任何联系。
我们所知道的有关 MedusaLocker 勒索软件的一切
确认姓名
- 美杜莎洛克病毒
威胁类型
- 勒索软件
- 加密病毒
- 文件柜
- 双重勒索
有免费的解密器吗?不,MedusaLocker 勒索软件没有公共解密器。分配方式
- 网络钓鱼电子邮件
- 远程服务
结果
- 文件被加密和锁定
- 数据泄露
- 双重勒索
MedusaLocker 勒索信中包含什么内容
勒索信被放置在每个文件夹中,并概述了如何与攻击者通信并以比特币支付赎金。它还警告受害者不要使用第三方解密器重命名、修改或尝试解密加密文件,指出这将永久损坏它们,并建议不要修改或重命名加密文件。
如果您意识到自己是勒索软件受害者,请联系 SalvageData 勒索软件清除专家,为您提供安全的数据恢复服务并在攻击后清除勒索软件。
MedusaLocker勒索软件的感染方法及加密方式
MedusaLocker 勒索软件使用各种技术来传播和感染受害者网络中的其他主机。
- 远程服务:MedusaLocker 勒索软件使用远程桌面协议 (RDP)、PsExec 和服务器消息块 (SMB) 等远程服务。
- 网络钓鱼活动:MedusaLocker 勒索软件还可以通过网络钓鱼活动(将恶意软件附加到电子邮件中)进入网络。
一旦 MedusaLocker 勒索软件获得对网络的访问权限,它就会遵循典型的勒索软件攻击生命周期并阻止受害者访问其数据。它使用 AES 和 RSA-2048 的组合来加密受害者的数据。MedusaLocker 将通过删除本地备份、禁用启动恢复以及最终将勒索字条放入包含受感染主机加密数据的文件的每个文件夹中,进一步建立持久性。
不遵守赎金要求!请联系地方当局和勒索软件删除服务来恢复您的文件并消除任何潜在威胁。
已知 MedusaLocker 勒索软件 IOC
IOC 代表网络安全背景下的“妥协指标”。它是一个取证术语,指设备上指出安全漏洞的证据。尽管 IOC 的数据是在可疑事件、安全事件或网络意外调用后收集的,但定期检查 IOC 数据以检测异常活动和漏洞是一种良好的网络安全实践。IOC 包括文件扩展名、IP 地址、文件哈希值、电子邮件地址、支付钱包和勒索信文件名。由于 MedusaLocker 是 RaaS,它的 IOC 将根据变体和操作它的网络犯罪团伙的不同而有所不同。CISA 的 MedusaLocker 咨询还包括以下 IOC:已知的勒索信文件名:
- how_to_recover_data.html
- how_to_recover_data.html.marlock01
- 说明.html
- 阅读说明.html
- !!!如何解密!!!.
已知的加密文件扩展名:
- .1比特币
- .matlock20
- .read说明
- .bec
- .mylock
- .deadfilesgr
- .lock文件
- .泰科
- .fileslock
- .zoomzoom
- .marlock08
- .marlock25
如何处理 MedusaLocker 勒索软件攻击
从 MedusaLocker 攻击中恢复的第一步是通过断开与互联网的连接并删除所有连接的设备来隔离受感染的计算机。然后,您必须联系地方当局。就美国居民和企业而言,联邦调查局和网络犯罪投诉中心(IC3)要报告勒索软件攻击,您必须收集有关勒索软件攻击的所有信息,包括:
- 勒索信截图
- 与威胁行为者的沟通(如果有的话)
- 加密文件的示例
但是,如果您愿意联系专业人士,那么最好让每台受感染的机器保持原样并要求紧急勒索软件清除服务。这些专业人员有能力快速减轻损害、收集证据、可能逆转加密并恢复系统。
重新启动或关闭系统可能会影响系统的恢复。捕获实时系统的 RAM 可能有助于获取加密密钥,而捕获 dropper 文件(即执行恶意负载的文件)可能有助于对加密本身进行逆向工程,并导致数据解密或更好地理解其操作方式。
1.联系您的事件响应提供商
网络事件响应是响应和管理网络安全事件的过程。事件响应保留者是与网络安全提供商签订的服务协议,允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化形式的专业知识和支持,使他们能够在网络事件期间快速有效地做出响应。事件响应保留人员让组织高枕无忧,在网络安全事件发生之前和之后提供专家支持。事件响应保留程序的具体性质和结构将根据提供商和组织的要求而有所不同。良好的事件响应保留者应该强大而灵活,提供经过验证的服务来增强组织的长期安全态势。如果您联系您的 IR 服务提供商,他们可以立即接管并指导您完成勒索软件恢复的每个步骤。但是,如果您决定自行删除勒索软件并与 IT 团队一起恢复文件,则可以按照以下步骤操作。
2. 识别勒索软件感染
您可以通过文件扩展名识别哪些勒索软件感染了您的计算机(某些勒索软件使用文件扩展名作为其名称),使用勒索软件 ID 工具,否则会出现在赎金单上。有了这些信息,您就可以查找公共解密密钥。
了解更多:MEOW 勒索软件:完整指南
3. 删除勒索软件并消除漏洞利用工具包
在恢复数据之前,您必须保证您的设备没有勒索软件,并且攻击者无法通过漏洞利用套件或其他漏洞进行新的攻击。勒索软件删除服务可以删除勒索软件、创建用于调查的取证文档、消除漏洞并恢复数据。
4.使用备份恢复数据
备份对于数据恢复的重要性怎么强调都不为过,尤其是在数据完整性存在各种潜在风险和威胁的情况下。备份是全面数据保护策略的关键组成部分。它们提供了从各种威胁中恢复的方法,确保操作的连续性并保留有价值的信息。面对勒索软件攻击,恶意软件会加密您的数据并要求您付费才能释放数据,备份可以让您恢复信息,而不会屈服于攻击者的要求。请确保定期测试和更新您的备份程序,以增强其防范潜在数据丢失情况的有效性。进行备份的方法有多种,因此您必须选择正确的备份介质,并至少在异地和离线状态下存储一份数据副本。
5.联系勒索软件恢复服务
如果您没有备份或需要帮助删除恶意软件并消除漏洞,请联系数据恢复服务。支付赎金并不能保证您的数据会归还给您。恢复每个文件的唯一有保证的方法是拥有备份。如果您不这样做,勒索软件数据恢复服务可以帮助您解密和恢复文件。SalvageData 专家可以安全地恢复您的文件并防止 MedusaLocker 勒索软件再次攻击您的网络,请全天候 (24/7) 联系我们的恢复专家。勒索软件攻击后不应该做什么您必须不删除勒索软件,并保留所有攻击证据。这对于数字取证这样专家就可以追溯到黑客组织并识别他们。当局可以通过使用受感染系统上的数据调查这次袭击并找到责任人。网络攻击调查与任何其他刑事调查没有什么不同:它需要证据来找到攻击者。
防止 MedusaLocker 勒索软件攻击
防止勒索软件是数据安全的最佳解决方案,因为它比从攻击中恢复更容易、更便宜。 MedusaLocker 勒索软件可能会损害您企业的未来,甚至关门大吉。通过采取这些主动措施,个人和组织可以降低 MedusaLocker 勒索软件攻击的风险,并保护其数据免遭加密和勒索。以下是一些提示,可确保您避免勒索软件攻击:
- 教育员工网络安全和网络钓鱼意识,帮助他们识别和避免网络钓鱼尝试。
- 实施安全措施,例如防火墙、防病毒软件和入侵检测系统,用于检测和阻止恶意流量。
- 保持警惕并监视网络活动是否有任何可疑行为的迹象。
- 保持软件最新使用最新的安全补丁来防止勒索软件利用未修补的漏洞。
- 实施强有力的访问控制,例如多因素身份验证和定期凭据监控,以防止勒索软件操作者使用被盗或弱凭据访问系统。
- 保护非托管设备和 BYOD 策略通过实施设备加密和远程擦除功能等安全措施。
- 定期扫描和修补面向互联网的应用程序防止勒索软件操作者利用漏洞。
