Cómo Descifrar MedusaLocker Y Cuánto Cuesta La Recuperación De Datos

Conoce cómo descifrar MedusaLocker, cómo se distribuye y cuánto cuesta la recuperación de datos para este ransomware.

¿Qué Es MedusaLocker?

MedusaLocker es un ransomware malicioso que se observó por primera vez a fines de octubre de 2019.

Está diseñado para cifrar archivos en un sistema informático y exigir el pago de la clave de descifrado.

MedusaLocker se dirige tanto a particulares como a organizaciones.

De 2018 a 2022, el porcentaje de organizaciones afectadas por ransomware en todo el mundo aumentó del 55,1% al 71%, según informa Statista.

Esto supone un aumento porcentual de +29%.

MedusaLocker se califica como una de las amenazas de ransomware más peligrosas que existen, ya que tiene la capacidad de propagarse por las redes e incluso desactivar el software de seguridad.

¿Qué es el malware Medusa?

Como ransomware, MedusaLocker también pertenece a la macro categoría de malware.

Tal y como explica la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA):

“Los ejecutantes del ransomware MedusaLocker muy a menudo obtienen acceso a los dispositivos de las víctimas a través de configuración RDP (Remote Desktop Protocol). Los actores también suelen utilizar campañas de correo electrónico de phishing y spam, adjuntando directamente el ransomware al correo electrónico, como vectores de intrusión iniciales”.

Una vez instalado, cifrará todos tus datos, incluidos documentos, fotos, vídeos y otros archivos importantes.

Este software malicioso está diseñado para ser difícil de detectar y eliminar, lo que lo hace especialmente peligroso para los usuarios que desconocen su presencia.

Familia de ransomware MedusaLocker

MedusaLocker se ha detectado en más de 80 países de todo el mundo, lo que lo convierte en una de las amenazas de malware más extendidas en la actualidad.

Pertenece a la familia STOP DJVU ransomware, que se ha convertido en una de las formas de malware más comunes en los últimos años.

La familia STOP (DJVU) es conocida por su capacidad para evadir la detección utilizando sofisticadas técnicas de encriptación y métodos anti-seguimiento.

Pero MedusaLocker, como sugiere su nombre, también se puede incluir en la familia más grande de locker ransomware.

Todas las versiones de CryptoLocker también pertenecen a este grupo.

La diferencia entre locker ransomware y crypto ransomware es que el primero bloquea las funciones básicas del dispositivo; mientras que el último cifra los datos sin interferir en las funciones del dispositivo.

¿Cómo se distribuye MedusaLocker?

El ransomware MedusaLocker puede propagarse a través de correos electrónicos maliciosos, descargas y otros sitios web.

Como ocurre con otros delitos informáticos, es muy habitual que este malware recurra a la ingeniería social para aprovechar las vulnerabilidades de los usuarios.

Los métodos más comunes para la difusión se resumen en dos categorías:

• Descargas dañosas.

MedusaLocker aparece a través de descargas maliciosas que se hacen pasar por software legítimo.

Estos software y programas falsos pueden parecer fiables, pero de hecho, permiten que los atacantes ingresen a tu sistema al instalar otras aplicaciones maliciosas que no se ven.

Para evitar este tipo de ataques, se recomienda instalar un programa anti ransomware y mantener tu sistema actualizado.

• Email de phishing.

MedusaLocker también ataca a través de correos electrónicos de phishing que parecen ser comunicaciones legítimas de bancos u otras instituciones financieras.

El email de phishing puede alentar al usuario a actualizar los detalles de su cuenta y contraseña haciendo clic en un enlace dentro del correo electrónico, lo que instalará el malware en el sistema sin tu conocimiento.

Las estadísticas reportadas por Statista muestran que en 2022 los sectores más afectados por esta amenaza fueron el sector financiero (23,6%); SaaS y webmail (20,5%); y e-commerce (14,6%).

En sus diversas versiones, MedusaLocker se ha hallado en diferentes plataformas informáticas, incluidas estaciones de trabajo, servidores corporativos e incluso dispositivos móviles.

El ransomware se apodera del sistema de archivos de una computadora infectada al reemplazar el registro de arranque maestro (MBR) original con uno que reinicia automáticamente el ordenador cada cierto tiempo.

Con cada reinicio, el virus instala un nuevo MBR que contiene código malicioso.

¿Qué vectores de ataque usa el ransomware MedusaLocker?

MedusaLocker ransomware utiliza varios vectores de ataque para obtener acceso al sistema de destino.

Según la clasificación MITRE ATT&CK, estas son las matrices más comunes:

• T1078, cuenta válida: los hackers utilizan la fuerza bruta para adivinar la contraseña y acceder a la red de la víctima;
• T1566, phishing: los correos electrónicos con archivos adjuntos siempre son un método efectivo para obtener datos confidenciales útiles;
• T1133, servicios remotos externos: los piratas informáticos explotan las puertas de enlace en aplicaciones como VPN para acceder a la red;
• T1059.001, intérprete de comandos y script PowerShell: los ciberdelincuentes pueden usar PowerShell para realizar una variedad de acciones, incluido el descubrimiento de información y la ejecución de código;
• T1047, herramientas de administración Windows (WMI): se utiliza para eliminar las instantáneas de volumen para evitar que las víctimas puedan recuperar archivos encriptados;
• T1547, inicio automático o ejecución de inicio de sesión: MedusaLocker ejecuta el virus en cada reinicio o inicio de sesión agregando entradas al registro;
• T1548.002, omisión del control de cuentas de usuario (UAC): el ransomware omite los mecanismos UAC para elevar los privilegios para realizar tareas con permisos de nivel de administrador;
• T1562.001, modifica herramientas de seguridad: de esta forma los hackers imposibilitan la detección de malware;
• T1562.009, arranque en modo seguro: los hackers pueden abusar del modo seguro de Windows para deshabilitar las defensas de puntos finales.

Estos son solo algunos de los vectores de ataque que utiliza MedusaLocker, pero la lista es aún más larga.

Efectivamente, la peligrosidad de este ataque de ransomware radica precisamente en la gran cantidad de posibilidades que tiene para entrar en los dispositivos de las víctimas.

¿Cómo detener el ransomware MedusaLocker?

Para protegerse de un ransomware MedusaLocker es esencial tomar medidas preventivas.

Las sugerencias corresponden a las medidas útiles a tomar por cada uno de los vectores de ataque vistos anteriormente:

• Asegúrate de que las aplicaciones no almacenen datos confidenciales y credenciales de forma insegura;
• Verifica las cuentas y sus niveles de permiso;
• Usa el control de aplicaciones cuando ejecutes herramientas fuera de las políticas de seguridad de tu organización;
• Verifica las debilidades en UAC utilizando el nivel de cumplimiento más alto para el control de cuentas de usuario;
• Asegúrate de que el sistema operativo esté completamente actualizado;
• Utiliza el control de aplicaciones configurado para bloquear la ejecución de WMI si no es necesario;
• Limita el acceso a servicios remotos y usa una autenticación fuerte de dos o más factores;
• Habilita las ASR (Attack Surface Reduction) para evitar que los script Visual Basic y JavaScript realicen descargas potencialmente dañinas;
• Instala un programa antivirus fiable que tenga la opción de aislar archivos sospechosos.

Además, para limitar los errores humanos, limita la función de administrador a la menor cantidad de cuentas, siguiendo los principios de privilegios mínimos.

El informe de Acams revela que el 58% de los encuestados tiene un plan de respuesta a incidentes cibernéticos.

El 81% de estos creen que es realmente útil.

Eliminación del ransomware MedusaLocker

Para eliminar el ransomware MedusaLocker, primero debes identificar y eliminar el programa malicioso.

Tienes dos formas de hacer esto:

• Reinicia tu computadora en modo seguro con funciones de red;
• Escanea tu ordenador con anti spyware para averiguar qué archivos están infectados con el ransomware MedusaLocker.

La primera opción es más práctica y no requiere de muchos conocimientos informáticos.

La segunda opción, sin embargo, es más drástica:

• Reinicia tu computadora en modo seguro con el comando prompt;
• Inicia el proceso de restauración del sistema;
• Elige un punto de restauración creado en el pasado, antes de la infección;
• Escanea tu sistema para confirmar que no haya rastros del ransomware.

Estas instrucciones tienen sentido si guardaste un punto de restauración del sistema anterior.

De lo contrario, al restaurar el sistema desde cero, a la configuración de fábrica, perderás todos tus archivos y datos presentes.

¿Cómo descifrar MedusaLocker?

MedusaLocker genera aleatoriamente una clave de cifrado y es prácticamente imposible descifrar los datos.

Según Cybereason, el 54% de las víctimas afirmaron que los problemas del sistema persistieron incluso después del descifrado.

En otros casos, algunos datos quedaron dañados después del descifrado.

La mejor forma de eliminar el malware y recuperar todos tus datos es elegir los servicios que ofrece una empresa especializada.

HelpRansomware reúne a los mejores expertos del sector capaces de aportar soluciones duraderas y eficaces.

¿Existen herramientas gratuitas de descifrado del ransomware MedusaLocker?

Desafortunadamente, no hay herramientas gratuitas de descifrado de ransomware disponibles para MedusaLocker.

Dado que MedusaLocker es una forma relativamente nueva de ransomware, tu software de seguridad no se ha actualizado para detectar esta amenaza.

Malwarebytes y Microsoft Windows Defender son los dos únicos programas antivirus que actualmente detectan este malware.

Para tener éxito en la recuperación de datos, las víctimas de este ransomware deben confiar en servicios profesionales como compañías de ciberseguridad para obtener ayuda.

HelpRansomware es la empresa número 1 del mundo en eliminación de ransomware, ciberseguridad y encriptación.

Un equipo se hará cargo de tu caso donde la rapidez de acción es esencial.

¿Es posible descifrar mis archivos de MedusaLocker sin pagarle al hacker?

Si te ataca un ransomware, nunca deberías  pagar el rescate.

Según el análisis de Acams, el 38% de los encuestados está de acuerdo con la anterior afirmación.

El 36%, sin embargo, admite la posibilidad de pagar el rescate en caso de peligro para la seguridad nacional.

Para el 29%, el rescate se puede pagar para evitar repercusiones operativas y reputacionales.

Pagar el rescate, además de no garantizar la recuperación de datos, también te convierte en una víctima más vulnerable para los hackers.

Esta afirmación es apoyada por el 85% de los encuestados.

La única forma efectiva para el descifrado de ransomware MedusaLocker es recurrir a especialistas.

¿MedusaLocker entrega la clave después de pagar el rescate?

La respuesta no es sencilla, depende de varios factores.

Algunas víctimas informaron que recibieron la clave de descifrado tras pagar el rescate, mientras que otras no tuvieron tanta suerte.

Como informa Cybereason, el 80% de las empresas que pagaron el rescate fueron atacadas por segunda vez y el 40% pagó nuevamente.

El 70% de este segundo grupo afirmó que pagó un precio más alto la segunda vez.

La mejor recomendación es no pagar el rescate.

El ransomware en el sector médico es un tema aparte, porque la vulnerabilidad de la información y la imposibilidad de interrumpir la actividad incrementan la vulnerabilidad.

MedusaLocker ransomware indicadores de compromiso

Es importante conocer los indicadores de una infracción para tomar medidas y proteger tus datos y mitigar el daño.

En primer lugar, algunos tipos de ransomware pueden no mostrar signos de infracción.

En tales casos, las víctimas no saben que se han visto afectadas hasta que ven que los datos se han cifrado o cuando reciben la solicitud de descifrado.

La mayoría de las víctimas serán notificadas sobre el ataque a través de un mensaje de correo electrónico, un mensaje de texto o una ventana emergente con la nota de rescate.

Sin embargo, hay varias pistas del ataque ransomware.

Es posible observar un aumento en el tráfico de red, por ejemplo.

O podría ser que tu computadora se reinicie varias veces.

Si notas un comportamiento extraño, desconecta el dispositivo de la red para no comprometer a otros usuarios conectados.

Archivos cifrados de MedusaLocker

Para saber si tus archivos han sido encriptados por MedusaLocker, la forma más fácil es verificar si hay algún cambio en la extensión del archivo.

La lista total de extensiones adjuntas a este ransomware ahora incluye 139 variantes.

Según Proven Data, los más comunes son:

• .ReadTheInstructions;
• .READINSTRUCTION;
• .ReadInstructions;
• .Malware;
• .redplague;
• .hellomynameisransom;
• .abstergo;
• .readinstructions;
• .deadfiles;
• .EMPg296LCK;
• .zoomzoom;
• .versus2;
• .versus4;
• .lockfilesbw;
• .lockfiles;
• .deadfiles.

También es posible que MedusaLocker cambie el nombre de todo el archivo.

Los cambios repentinos en el tamaño del archivo también son un síntoma de un ataque de ransomware.

Además, MedusaLocker suele dejar tras de sí programas maliciosos que pueden detectarse mediante un programa antivirus.

Nota de rescate de MedusaLocker

Cuando MedusaLocker infecta un sistema, deja una nota de rescate advirtiendo a las víctimas del ataque.

Esta nota de rescate generalmente contiene instrucciones sobre cómo pagar para recuperar el acceso a los archivos cifrados.

También contiene advertencias de que la falta de pago conlleva la pérdida permanente de datos.

La nota de rescate con instrucciones se ubica en cada carpeta que contiene un archivo cifrado.

A las víctimas se les proporciona una dirección de billetera Bitcoin específica para realizar el pago del rescate.

Portal MedusaLocker

Algunas notas de rescate también incluyen un enlace Tor a un portal MedusaLocker.

A menudo, estos enlaces están rotos, pero, en general, el portal se utiliza como punto de encuentro de las víctimas del ransomware.

Hay una plataforma para que las víctimas se pongan en contacto con los atacantes y negocien el pago del rescate.

¿El ransomware MedusaLocker roba datos?

Dado que MedusaLocker pertenece a la macrofamilia de locker ransomware, su objetivo principal no es robar datos.

De hecho, este tipo de ransomware bloquea los datos de los usuarios en un intento de extorsionar a los usuarios.

Su característica principal, por lo tanto, es bloquear los datos, no robarlos.

Pero con el auge del ransomware doble extorsión, este malware también se está moviendo en esa dirección.

De hecho, toma fotos, vídeos y archivos de texto personales antes de cifrarlos y almacenarlos en sus servidores para extorsionar a las víctimas.

¿Cuánto cuesta la recuperación ransomware MedusaLocker?

El monto del rescate varía mucho.

Según el IBM, en 2022, el costo promedio de una violación de datos alcanzó los $4,35 millones, un récord en comparación con los últimos años.

El costo de la recuperación del ransomware MedusaLocker depende del tipo de ataque, la cantidad de sistemas afectados y la gravedad del daño.

Los datos de Proven Data informan que la demanda de rescate inicial es de alrededor de $12.000.

También considera que la plataforma de pago puede imponer una tarifa además del monto del rescate.

Es importante tener en cuenta que pagar el rescate no garantiza que se devuelvan sus datos.

Por ello, siempre se recomienda invertir en soluciones de seguridad fiables como medida preventiva frente a este tipo de ataques.

¿Cuánto tiempo lleva recuperarse de un ataque de ransomware MedusaLocker?

Recuperarse de un ataque de ransomware MedusaLocker puede ser un proceso largo y difícil.

Hay tres etapas básicas en este proceso:

• Eliminar completamente el software malicioso;
• Restaurar archivos cifrados;
• Implementar medidas de seguridad para protegerse contra futuros ataques.

Según la gravedad del ataque, la recuperación completa del ransomware MedusaLocker podría llevar días, semanas o incluso meses.

¿Cuál es la tasa de éxito de recuperación de datos para el ransomware MedusaLocker?

Desafortunadamente, puede ser difícil recuperar datos cifrados por el ransomware MedusaLocker.

Esto se debe al algoritmo AES 256 protegido con encriptación RSA-2048, que dificulta abrir archivos cifrados sin la clave correcta.

En general, para otros tipos de ransomware, los porcentajes no son tan pesimistas.

Según Cybereason, el 78% de las empresas que afirmaron que no pagaron el rescate, confirmaron la restauración de sus sistemas y datos sin recibir la clave de descifrado.

Tener un backup o punto de restauración antes de la infección de ransomware facilita recuperar los datos.

Víctimas de MedusaLocker

El ransomware MedusaLocker está demostrando ser muy peligroso.

Ha afectado a miles de empresas y organizaciones, causándoles pérdidas de millones.

Según la homepage del portal MedusaLocker, el ransomware ha atacado a más de 80 países.

Las empresas afectadas por ransomware se encuentran principalmente en 20 países:

• Argentina;
• Canadá;
• Chile;
• Colombia;
• Costa Rica;
• Dinamarca;
• Ecuador;
• Francia;
• Alemania;
• Austria;
• Eslovenia;
• España;
• Suiza;
• Emiratos Árabes;
• Reino Unido.

Probablemente haya muchas más empresas afectadas por este ataque, que no figuran en la lista debido a la falta de disponibilidad de datos.

El análisis de Coveware permite hacerse una idea general de cuáles son los sectores empresariales más afectados por ransomware en el segundo trimestre de 2022:

Los servicios profesionales (21,9%) y el sector público (14,4%) encabezan la tabla, seguidos del sector salud (10%).

¿Cómo evito que el ataque de MedusaLocker vuelva a ocurrir?

La mejor manera de evitar que vuelva a ocurrir un ataque de MedusaLocker es implementar las medidas de seguridad adecuadas.

Esto incluye el uso de:

• Contraseñas complejas;
• Proceso para notificar al equipo de TI sobre cambios en la red;
• Autenticación de dos factores para todas las cuentas;
• Actualización regular de software y sistemas con los últimos parches de seguridad;
• Educación de los empleados sobre los peligros de la web.

Además, las organizaciones también deben invertir en soluciones de backup confiables para que puedan recuperarse rápidamente de cualquier ataque de ransomware.

Según Delinea, las acciones más frecuentes para prevenir un ataque de ransomware en 2022 fueron:

• Actualizaciones de software y sistemas: 53%;
• Backup periódicas de datos confidenciales: 52%;
• Mejora en las contraseñas: 51%;
• Autenticación multifactor: 50%;
• Implementación de control de aplicaciones: 23%;
• Deshabilitar las funciones macro de archivos adjuntos de correo electrónico: 19%;
• Privilegios mínimos: 15%.

Al seguir estos pasos, las empresas pueden asegurarse de estar protegidas contra futuros ataques y minimizar el riesgo de pérdidas financieras por ataques de ransomware.

Conclusiones

En esta guía, se explica todo lo que necesitas saber sobre el ransomware MedusaLocker, uno de los malware más peligrosos vistos recientemente.

Estas son las conclusiones que puedes extraer del texto:

• MedusaLocker es un ransomware malicioso que se observó por primera vez a fines de octubre de 2019;
• Pertenece a la familia de ransomware STOP DJVU, que se ha convertido en una de las formas de malware más comunes en los últimos años;
• El ransomware MedusaLocker puede propagarse a través de correos electrónicos maliciosos, descargas y otros sitios web;
• MedusaLocker utiliza diferentes vectores de ataque para obtener acceso al sistema de destino: el 58% de los encuestados tiene un plan de respuesta a incidentes cibernéticos;
• Desafortunadamente, no hay herramientas gratuitas de descifrado de ransomware disponibles para MedusaLocker;
• El 80% de las empresas que pagaron el rescate fueron golpeadas por segunda vez y el 40% pagó de nuevo;
• El 78% de las compañías que afirman que no pagaron el rescate, finalmente restauraron los sistemas y datos sin recibir la clave de descifrado.

Contacta con HelpRansomware para obtener una solución personalizada para descifrar archivos cifrados por ransomware.