Medusalocker勒索軟件於2019年9月首次被檢測到,此後已感染和加密多個部門的系統,主要針對醫療保健部門。 Medusalocker參與者主要依靠遠程服務中的漏洞來訪問受害者的網絡。參與者使用RDP,PSEXEC和SMB等服務來感染受害者網絡中的其他主機。
Salvagedata專家建議採取積極的數據安全措施,例如常規備份,強大的網絡安全實踐以及保持軟件的最新狀態,以防止勒索軟件攻擊。和,如果發生勒索軟件攻擊,請立即與我們的勒索軟件恢復專家聯繫。
Medusalocker是一款勒索軟件,眾所周知,針對多個組織,尤其是醫療保健和製藥公司。它是基於觀察到的贖金支付的分配的勒索軟件即服務(RAAS)模型的運行。雖然它具有類似的名稱,但沒有明確的證據表明Medusalocker與Medusa Ransomware有任何联系。
我們知道有關Medusalocker勒索軟件的一切
確認的名稱
- Medusalocker病毒
威脅類型
- 勒索軟件
- 加密病毒
- 文件儲物櫃
- 雙重勒索
有免費解密者嗎?不,沒有用於Medusalocker勒索軟件的公共解密者。分佈方法
- 網絡釣魚電子郵件
- 遠程服務
結果
- 文件已加密和鎖定
- 數據洩漏
- 雙重勒索
Medusalocker Ransom Note中有什麼
贖金票據都放入每個文件夾中,並概述瞭如何與攻擊者通信並在比特幣中支付贖金。它還警告受害者不要使用第三方解密者重命名,修改或試圖解密加密文件,並指出它將永久損壞他們,並建議不要修改或重命名加密文件。
如果您意識到自己是勒索軟件受害者,請與Salvagedata勒索拆除專家聯繫,為您提供攻擊後安全的數據恢復服務和勒索軟件刪除。
Medusalocker勒索軟件感染和加密方法
Medusalocker Ransomware使用各種技術在受害者網絡中傳播和感染其他主機。
- 遠程服務:Medusalocker Ransomware使用遠程服務,例如遠程桌面協議(RDP),PSEXEC和服務器消息塊(SMB)。
- 網絡釣魚運動:Medusalocker Ransomware還可以通過網絡釣魚活動進入網絡,其中將惡意軟件附加到電子郵件中。
一旦Medusalocker勒索軟件獲得了對網絡的訪問,它就會遵循典型的勒索軟件攻擊生命週期,並阻止受害者訪問其數據。它通過使用AES和RSA-2048的組合來對受害者的數據進行加密。 Medusalocker將通過刪除本地備份,禁用啟動恢復並最終將贖金註釋放入包含損壞主機的文件的每個文件夾中,從而進一步建立持久性。
不要遵守贖金需求!聯繫地方當局和勒索軟件拆除服務,以恢復您的文件並刪除任何潛在的威脅。
已知的Medusalocker勒索軟件IOC
在網絡安全背景下,國際奧委會代表“妥協的指標”。這是一個法醫術語,指的是指出安全漏洞的設備上的證據。儘管在可疑事件,安全事件或網絡中意外的呼叫之後收集了IOC的數據,但定期檢查IOC數據以檢測異常活動和漏洞是一種很好的網絡安全實踐。 IOC包括文件擴展名,IP地址,文件hashes,hashes,電子郵件地址,付款Wallets和Ransom Note文件名。由於Medusalocker是Raas,因此其IOC會根據經營的變體和網絡犯罪幫派而有所不同。CISA的Medusalocker諮詢還包括以下IOC:已知的勒索注意文件名稱:
- how_to_ reconion_data.html
- How_to_to_recover_data.html.marlock01
- 說明.html
- readinStruction.html
- ! ! ! ! ! ! ! ! ! ! !
已知的加密文件擴展名:
- .1btc
- .matlock20
- .ReadInstructions
- .bec
- .Mylock
- .deadfilesgr
- .lockfiles
- .tyco
- .fileslock
- .zoomzoom
- .marlock08
- .marlock25
如何處理Medusalocker勒索軟件攻擊
從Medusalocker攻擊中恢復的第一步是通過與Internet斷開連接並刪除任何連接的設備來隔離感染的計算機。然後,您必須聯繫地方當局。對於美國居民和企業,這是聯邦調查局和互聯網犯罪投訴中心(IC3)。要報告勒索軟件攻擊,您必須收集有關它的所有信息,包括:
更多閱讀:Meow勒索軟件:完整指南
- 贖金的屏幕截圖
- 與威脅參與者的溝通(如果有的話)
- 加密文件的樣本
但是,如果您願意聯繫專業人士,那麼最好將所有受感染的機器按原樣保留並要求緊急勒索軟件拆除服務。這些專業人員有能力快速減輕損失,收集證據,可能扭轉加密並恢復系統。
重新啟動或關閉系統可能會損害系統的恢復。捕獲實時系統的RAM可能有助於獲取加密密鑰,並捕獲滴管文件,即執行惡意有效載荷的文件,可能有助於逆轉加密本身,並導致數據解密或更好地理解其運行方式。
1。聯繫您的事件響應提供者
網絡事件響應是響應和管理網絡安全事件的過程。事件響應保留器是與網絡安全提供商的服務協議,該服務提供商允許組織在網絡安全事件中獲得外部幫助。它通過安全合作夥伴為組織提供了結構化的專業知識和支持形式,使他們能夠在網絡事件中快速有效地做出響應。事件響應保留者為組織提供了放心,在網絡安全事件發生前後提供了專家支持。事件響應保留者的特定性質和結構將根據提供商和組織的要求而有所不同。良好的事件響應固定器應該是強大但靈活的,可以提供良好的服務,以增強組織的長期安全姿勢。如果您與IR服務提供商聯繫,他們可以立即接管您,並指導您完成勒索軟件恢復的每一步。但是,如果您決定自己刪除勒索軟件並與IT團隊恢復文件,那麼您可以按照下一步進行操作。
2。確定勒索軟件感染
您可以識別文件擴展程序感染了哪種勒索軟件(某些勒索軟件使用文件擴展名作為其名稱),使用勒索軟件ID工具,否則它將在贖金中。有了這些信息,您可以尋找一個公共解密密鑰。
3。卸下勒索軟件並消除利用套件
在恢復數據之前,您必須確保您的設備不含勒索軟件,並且攻擊者無法通過漏洞利用工具包或其他漏洞進行新的攻擊。勒索軟件拆除服務可以刪除勒索軟件,創建法醫文檔以進行調查,消除漏洞並恢復您的數據。
4。使用備份來還原數據
備份對於數據恢復的重要性不能被誇大,尤其是在各種潛在風險和對數據完整性威脅的情況下。背部是綜合數據保護策略的關鍵組成部分。它們提供了一種從各種威脅中恢復的方法,確保操作的連續性並保留有價值的信息。面對勒索軟件攻擊,惡意軟件會加密您的數據並要求其發布付款,因此您可以恢復信息,而不會屈服於攻擊者的需求。請確保定期測試和更新備份程序,以提高其在潛在數據丟失方面的效率。有幾種備份的方法,因此您必須選擇右備份介質,並且至少有一個存儲的數據副本。
5。聯繫勒索軟件恢復服務
如果您沒有備份或需要幫助刪除惡意軟件並消除漏洞的幫助,請聯繫數據恢復服務。支付贖金並不保證您的數據會退還給您。唯一可以保證的方法可以還原每個文件,如果您有備份。如果您不這樣做,勒索軟件數據恢復服務可以幫助您解密並恢復文件。 Salvagedata專家可以安全地恢復您的文件並防止Medusalocker Ransomware再次攻擊網絡,請與我們的恢復專家聯繫,24/7.沒有刪除勒索軟件,並保留所有襲擊的證據。這很重要數字取證因此,專家可以追溯到黑客小組並識別它們。通過使用感染系統上的數據,當局可以調查攻擊並找到責任。網絡攻擊調查與任何其他刑事調查沒有什麼不同:它需要證據才能找到攻擊者。
防止Medusalocker勒索軟件攻擊
防止勒索軟件是數據安全性的最佳解決方案,因為它比從攻擊中恢復更容易和便宜。 Medusalocker勒索軟件可以使您的企業的未來甚至關門。通過採取這些積極的措施,個人和組織可以降低Medusalocker勒索勒索軟件攻擊的風險,並保護其數據免受蘭索的加密和保留。
- 教育員工關於網絡安全和網絡釣魚意識,以幫助他們認識並避免嘗試網絡釣魚嘗試。
- 實施安全措施,例如防火牆,防病毒軟件和入侵檢測系統,以檢測和阻止惡意流量。
- 保持警惕並監視網絡活動的任何可疑行為跡象。
- 保持軟件最新借助最新的安全補丁,以防止勒索軟件利用未列出的漏洞。
- 實施強大的訪問控制,例如多因素身份驗證和常規憑證監控,以防止勒索軟件運營商使用被盜或弱憑據訪問系統。
- 確保不受管理的設備和BYOD政策通過實施安全措施,例如設備加密和遠程擦除功能。
- 定期掃描和補丁面向互聯網的應用程序防止勒索軟件操作員利用漏洞。