MedusaLocker 勒索軟件:完整指南
MedusaLocker 勒索軟件於 2019 年 9 月首次檢測到,此後已感染並加密了多個部門的系統,主要針對醫療保健部門。 MedusaLocker 攻擊者主要依靠遠程服務中的漏洞來訪問受害者的網絡。攻擊者使用 RDP、PsExec 和 SMB 等服務來感染受害者網絡中的其他主機。
SalvageData 專家建議採取主動的數據安全措施,例如定期備份、強大的網絡安全實踐以及保持軟件最新,以防止勒索軟件攻擊。和,如果發生勒索軟件攻擊,請立即聯繫我們的勒索軟件恢復專家。
MedusaLocker 是一種勒索軟件,已知針對多個組織,尤其是醫療保健和製藥公司。它以勒索軟件即服務 (RaaS) 模式運行,基於觀察到的贖金支付分割。雖然它具有相似的名稱,但沒有明確證據表明 MedusaLocker 與 Medusa 勒索軟件有任何联系。
我們所知道的有關 MedusaLocker 勒索軟件的一切
確認姓名
- 美杜莎洛克病毒
威脅類型
- 勒索軟件
- 加密病毒
- 文件櫃
- 雙重勒索
有免費的解密器嗎?不,MedusaLocker 勒索軟件沒有公共解密器。分配方式
- 網絡釣魚電子郵件
- 遠程服務
結果
- 文件被加密和鎖定
- 數據洩露
- 雙重勒索
MedusaLocker 勒索信中包含什麼內容
勒索信被放置在每個文件夾中,並概述瞭如何與攻擊者通信並以比特幣支付贖金。它還警告受害者不要使用第三方解密器重命名、修改或嘗試解密加密文件,指出這將永久損壞它們,並建議不要修改或重命名加密文件。
如果您意識到自己是勒索軟件受害者,請聯繫 SalvageData 勒索軟件清除專家,為您提供安全的數據恢復服務並在攻擊後清除勒索軟件。
MedusaLocker勒索軟件的感染方法及加密方式
MedusaLocker 勒索軟件使用各種技術來傳播和感染受害者網絡中的其他主機。
- 遠程服務:MedusaLocker 勒索軟件使用遠程桌面協議 (RDP)、PsExec 和服務器消息塊 (SMB) 等遠程服務。
- 網絡釣魚活動:MedusaLocker 勒索軟件還可以通過網絡釣魚活動(將惡意軟件附加到電子郵件中)進入網絡。
一旦 MedusaLocker 勒索軟件獲得對網絡的訪問權限,它就會遵循典型的勒索軟件攻擊生命週期並阻止受害者訪問其數據。它使用 AES 和 RSA-2048 的組合來加密受害者的數據。 MedusaLocker 將通過刪除本地備份、禁用啟動恢復以及最終將勒索字條放入包含受感染主機加密數據的文件的每個文件夾中,進一步建立持久性。
不遵守贖金要求!請聯繫地方當局和勒索軟件刪除服務來恢復您的文件並消除任何潛在威脅。
已知 MedusaLocker 勒索軟件 IOC
IOC 代表網絡安全背景下的“妥協指標”。它是一個取證術語,指設備上指出安全漏洞的證據。儘管 IOC 的數據是在可疑事件、安全事件或網絡意外調用後收集的,但定期檢查 IOC 數據以檢測異常活動和漏洞是一種良好的網絡安全實踐。 IOC 包括文件擴展名、IP 地址、文件哈希值、電子郵件地址、支付錢包和勒索信文件名。由於 MedusaLocker 是 RaaS,它的 IOC 將根據變體和操作它的網絡犯罪團伙的不同而有所不同。CISA 的 MedusaLocker 諮詢還包括以下 IOC:已知的勒索信文件名:
- how_to_recover_data.html
- how_to_recover_data.html.marlock01
- 說明.html
- 閱讀說明.html
- !!!如何解密!!!.
已知的加密文件擴展名:
- .1比特幣
- .matlock20
- .read說明
- .bec
- .mylock
- .deadfilesgr
- .lock文件
- .泰科
- .fileslock
- .zoomzoom
- .marlock08
- .marlock25
如何處理 MedusaLocker 勒索軟件攻擊
從 MedusaLocker 攻擊中恢復的第一步是通過斷開與互聯網的連接並刪除所有連接的設備來隔離受感染的計算機。然後,您必須聯繫地方當局。就美國居民和企業而言,聯邦調查局和網絡犯罪投訴中心(IC3)要報告勒索軟件攻擊,您必須收集有關勒索軟件攻擊的所有信息,包括:
- 勒索信截圖
- 與威脅行為者的溝通(如果有的話)
- 加密文件的示例
但是,如果您願意聯繫專業人士,那麼最好讓每台受感染的機器保持原樣並要求緊急勒索軟件清除服務。這些專業人員有能力快速減輕損害、收集證據、可能逆轉加密並恢復系統。
重新啟動或關閉系統可能會影響系統的恢復。捕獲實時系統的 RAM 可能有助於獲取加密密鑰,而捕獲 dropper 文件(即執行惡意負載的文件)可能有助於對加密本身進行逆向工程,並導致數據解密或更好地理解其操作方式。
1.聯繫您的事件響應提供商
網絡事件響應是響應和管理網絡安全事件的過程。事件響應保留者是與網絡安全提供商簽訂的服務協議,允許組織獲得有關網絡安全事件的外部幫助。它通過安全合作夥伴為組織提供結構化形式的專業知識和支持,使他們能夠在網絡事件期間快速有效地做出響應。事件響應保留人員讓組織高枕無憂,在網絡安全事件發生之前和之後提供專家支持。事件響應保留程序的具體性質和結構將根據提供商和組織的要求而有所不同。良好的事件響應保留者應該強大而靈活,提供經過驗證的服務來增強組織的長期安全態勢。如果您聯繫您的 IR 服務提供商,他們可以立即接管並指導您完成勒索軟件恢復的每個步驟。但是,如果您決定自行刪除勒索軟件並與 IT 團隊一起恢復文件,則可以按照以下步驟操作。
2. 識別勒索軟件感染
您可以通過文件擴展名識別哪些勒索軟件感染了您的計算機(某些勒索軟件使用文件擴展名作為其名稱),使用勒索軟件 ID 工具,否則會出現在贖金單上。有了這些信息,您就可以查找公共解密密鑰。
了解更多:
3. 刪除勒索軟件並消除漏洞利用工具包
在恢復數據之前,您必須保證您的設備沒有勒索軟件,並且攻擊者無法通過漏洞利用套件或其他漏洞進行新的攻擊。勒索軟件刪除服務可以刪除勒索軟件、創建用於調查的取證文檔、消除漏洞並恢復數據。
4.使用備份恢復數據
備份對於數據恢復的重要性怎麼強調都不為過,尤其是在數據完整性存在各種潛在風險和威脅的情況下。備份是全面數據保護策略的關鍵組成部分。它們提供了從各種威脅中恢復的方法,確保操作的連續性並保留有價值的信息。面對勒索軟件攻擊,惡意軟件會加密您的數據並要求您付費才能釋放數據,備份可以讓您恢復信息,而不會屈服於攻擊者的要求。請確保定期測試和更新您的備份程序,以增強其防範潛在數據丟失情況的有效性。進行備份的方法有多種,因此您必須選擇正確的備份介質,並至少在異地和離線狀態下存儲一份數據副本。
5.聯繫勒索軟件恢復服務
如果您沒有備份或需要幫助刪除惡意軟件並消除漏洞,請聯繫數據恢復服務。支付贖金並不能保證您的數據會歸還給您。恢復每個文件的唯一有保證的方法是擁有備份。如果您不這樣做,勒索軟件數據恢復服務可以幫助您解密和恢復文件。 SalvageData 專家可以安全地恢復您的文件並防止 MedusaLocker 勒索軟件再次攻擊您的網絡,請全天候 (24/7) 聯繫我們的恢復專家。勒索軟件攻擊後不應該做什麼您必須不刪除勒索軟件,並保留所有攻擊證據。這對於數字取證這樣專家就可以追溯到黑客組織並識別他們。當局可以通過使用受感染系統上的數據調查這次襲擊並找到責任人。網絡攻擊調查與任何其他刑事調查沒有什麼不同:它需要證據來找到攻擊者。
防止 MedusaLocker 勒索軟件攻擊
防止勒索軟件是數據安全的最佳解決方案,因為它比從攻擊中恢復更容易、更便宜。 MedusaLocker 勒索軟件可能會損害您企業的未來,甚至關門大吉。通過採取這些主動措施,個人和組織可以降低 MedusaLocker 勒索軟件攻擊的風險,並保護其數據免遭加密和勒索。以下是一些提示,可確保您避免勒索軟件攻擊:
- 教育員工網絡安全和網絡釣魚意識,幫助他們識別和避免網絡釣魚嘗試。
- 實施安全措施,例如防火牆、防病毒軟件和入侵檢測系統,用於檢測和阻止惡意流量。
- 保持警惕並監視網絡活動是否有任何可疑行為的跡象。
- 保持軟件最新使用最新的安全補丁來防止勒索軟件利用未修補的漏洞。
- 實施強有力的訪問控制,例如多因素身份驗證和定期憑據監控,以防止勒索軟件操作者使用被盜或弱憑據訪問系統。
- 保護非託管設備和 BYOD 策略通過實施設備加密和遠程擦除功能等安全措施。
- 定期掃描和修補面向互聯網的應用程序防止勒索軟件操作者利用漏洞。
