Come Decriptare MedusaLocker E Quanto Costa Recuperare I Dati

Scopri come decriptare MedusaLocker, come si diffonde e quanto costa recuperare i dati criptati da questo ransomware.

Cos’è MedusaLocker?

MedusaLocker è un ransomware dannoso che è stato osservato per la prima volta alla fine di ottobre 2019.

È progettato per crittografare i file su un sistema informatico e richiedere il pagamento per la chiave di decrittazione.

MedusaLocker prende di mira sia gli individui che le organizzazioni.

Dal 2018 al 2022, la percentuale di organizzazioni vittime di ransomware nel mondo è passata dal 55,1% al 71%, come riportato da Statista.

Si tratta di un aumento percentuale del + 29%.

MedusaLocker si qualifica come una delle minacce ransomware più pericolose in circolazione, poiché ha la capacità di diffondersi sulle reti e persino di disabilitare il software di sicurezza.

Cos’è il malware MedusaLocker?

In quanto ransomware, anche MedusaLocker appartiene alla macro categoria dei malware.

Come spiegato dalla Cybersecurity and Infrastructure Security Agency (CISA):

“Gli attori del ransomware MedusaLocker molto spesso ottengono l’accesso ai dispositivi delle vittime attraverso configurazioni RDP (Remote Desktop Protocol) vulnerabili. Gli attori utilizzano spesso anche campagne e-mail di phishing e spam, allegando direttamente il ransomware all’e-mail, come vettori iniziali di intrusione”.

Una volta installato, crittograferà tutti i tuoi dati, inclusi documenti, foto, video e altri file importanti.

Questo software dannoso è progettato per essere difficile da rilevare e rimuovere, il che lo rende particolarmente pericoloso per gli utenti che non sono a conoscenza della sua presenza.

Famiglia del ransomware MedusaLocker

MedusaLocker è stato rilevato in più di 80 paesi in tutto il mondo, rendendolo oggi una delle minacce malware più diffuse.

Appartiene alla famiglia di STOP DJVU ransomware, che negli ultimi anni è diventata una delle forme più comuni di malware.

La famiglia STOP (DJVU) è nota per la sua capacità di eludere il rilevamento utilizzando sofisticate tecniche di crittografia e metodi anti-rilevamento.

Ma il MedusaLocker, così come suggerisce il suo nome, si può includere anche nella più grande famiglia dei locker ransomware.

In questo gruppo rientrano anche tutte le versioni di CryptoLocker.

La differenza sostanziale tra i locker ransomware e i crypto ransomware è che i primi bloccano le funzioni base del dispositivo; mentre i secondi crittografano i dati senza interferire con le funzioni del dispositivo.

Come si diffonde MedusaLocker?

MedusaLocker ransomware può diffondersi tramite e-mail dannose, download e altri siti Web.

Come nel caso di altri crimini informatici, è molto comune che questo malware utilizzi l’ingegneria sociale per scovare le vulnerabilità degli utenti.

I metodi più comuni per la diffusione sono riconducibili a due categorie:

• Download dannosi.

MedusaLocker viene fornito tramite download dannosi mascherati da software legittimo.

Questi software e programmi falsi possono sembrare attendibili, ma in realtà consentono agli aggressori di accedere al tuo sistema installando altre applicazioni dannose invisibili.

Per prevenire questo tipo di attacco, si consiglia di installare un programma anti ransomware e mantenere il proprio sistema aggiornato.

• E-mail di phishing.

MedusaLocker può anche arrivare tramite e-mail di phishing che sembrano essere comunicazioni legittime da banche o altri istituti finanziari.

L’e-mail di phishing può incoraggiare l’utente ad aggiornare i dettagli dell’account e la password facendo clic su un collegamento all’interno dell’email, che installerà il malware sul sistema a sua insaputa.

I numeri riportati da Statista dimostrano che nel 2022 i settori più colpiti da questa minaccia sono stati quello finanziario (23,6%); dei SaaS e webmail (20,5%); e-commerce (14,6%).

Nelle sue varie versioni, MedusaLocker è stato trovato su diverse piattaforme informatiche, tra cui workstation, server aziendali e persino dispositivi mobili.

Il ransomware prende il controllo del file system di un computer infetto sostituendo il master boot record (MBR) originale con uno che automaticamente riavvia il computer ogni tot di tempo.

Ad ogni riavvio, il virus installa un nuovo MBR contenente codice dannoso.

Quali vettori di attacco usa MedusaLocker?

MedusaLocker ransomware utilizza diversi vettori di attacco per ottenere l’accesso al sistema di destinazione.

Secondo la classificazione MITRE ATT&CK, queste sono le matrici più comuni:

• T1078, account validi: gli hacker utilizzano la forza bruta per indovinare la password e accedere alla rete della vittima;
• T1566, phishing: le mail con allegati sono sempre un metodo efficace per entrare in possesso di dati sensibili utili;
• T1133, servizi remoti esterni: gli hacker sfruttano i gateway presenti in applicazioni come VPN per accedere alla rete;
• T1059.001, interprete di comandi e script PowerShell: i criminali informatici possono utilizzare PowerShell per eseguire una serie di azioni, tra cui il rilevamento di informazioni e l’esecuzione di codice;
• T1047, strumenti di gestione Windows (WMI): viene usato per eliminare le copie shadow del volume per impedire alle vittime di recuperare file crittografati;
• T1547, esecuzione di avvio o accesso automatico: MedusaLocker manda in esecuzione il virus ad ogni riavvio o accesso aggiungendo voci al registro;
• T1548.002, bypass del controllo account utente (UAC): il ransomware aggira i meccanismi UAC per elevare i privilegi in modo tale da eseguire attività con autorizzazioni a livello di amministratore;
• T1562.001, modifica gli strumenti di sicurezza: in questo modo gli hacker rendono impossibile rilevare il malware;
• T1562.009, avvio in modalità provvisoria: gli hacker possono abusare della modalità provvisoria di Windows per disabilitare le difese degli endpoint.

Questi sono solo alcuni dei vettori di attacco che MedusaLocker utilizza, ma la lista è ancora più lunga.

Infatti, la pericolosità di questo attacco ransomware sta proprio nel gran numero di possibilità che ha di entrare nei dispositivi delle vittime.

Come bloccare il ransomware MedusaLocker?

Per proteggersi dal ransomware MedusaLocker è essenziale adottare misure preventive.

I suggerimenti che troverai qui di seguito corrispondono alle misure utili da prendere per ognuno dei vettori di attacco visti in precedenza:

• Assicurati che le applicazioni non memorizzino dati sensibili e credenziali in modo non sicuro;
• Controlla gli account e i loro livelli di autorizzazione;
• Utilizza il controllo delle applicazioni quando riguarda l’esecuzione di strumenti al di fuori delle politiche di sicurezza della tua organizzazione;
• Verifica la presenza di punti deboli nell’UAC utilizzando il livello di applicazione più elevato per il controllo dell’account utente;
• Assicurati che il tuo sistema operativo sia completamente aggiornato;
• Utilizza il controllo dell’applicazione configurato per bloccare l’esecuzione degli WMI se non è necessaria;
• Limita l’accesso ai servizi remoti e utilizza un’autenticazione forte a due o più fattori;
• Abilita le ASR (Attack Surface Reduction) per impedire agli script Visual Basic e JavaScript di eseguire i download potenzialmente dannosi;
• Installare un programma antivirus affidabile che possa avere l’opzione di isolare i file sospetti.

Inoltre, per limitare al massimo anche gli errori umani, limita il ruolo di amministratore al minor numero di account, seguendo i principi dei privilegi minimi.

Il report di Acams rileva che il 58% degli intervistati ha un piano di risposta agli incidenti informatici.

L’81% di questi crede che sia effettivamente utile.

Eliminazione del ransomware MedusaLocker

Per rimuovere MedusaLocker ransomware, devi prima identificare ed eliminare il programma dannoso.

Hai due modi per farlo:

• Riavvia il computer in modalità provvisoria con rete;
• Scansiona il tuo computer con un anti spyware per scoprire quali file sono stati infettati da MedusaLocker ransomware.

Questa prima opzione è più pratica e non richiede molte conoscenze informatiche.

La seconda opzione, invece, è più drastica:

• Riavvia il computer in modalità provvisoria con il prompt dei comandi;
• Avvia il processo di ripristino configurazione di sistema;
• Scegli un punto di ripristino creato nel passato, prima dell’infezione;
• Procedi alla scansione del sistema per confermare che non ci siano tracce del ransomware.

Queste indicazioni hanno senso se hai salvato un punto di ripristino del sistema precedente.

In caso contrario, ripristinando il sistema da zero, alla configurazione di fabbrica, perderai tutti i file e i dati presenti.

Come decriptare MedusaLocker?

MedusaLocker genera in modo casuale una chiave di crittografia ed è praticamente impossibile decriptare i dati senza la chiave di decrittazione corretta.

Considera che, come riportato da Cybereason, il 54% delle vittime ha affermato che i problemi di sistema persistevano anche dopo la decrittazione.

In altri casi, alcuni dati sono rimasti stati danneggiati dopo la decrittazione.

Il modo migliore per eliminare il malware e recuperare tutti i tuoi dati è scegliere i servizi offerti da un’azienda specializzata.

HelpRansomware unisce i migliori esperti del settore in grado di fornire soluzioni durature ed efficaci.

Esistono tool gratuiti per decriptare MedusaLocker?

Sfortunatamente, non sono disponibili strumenti decrittazione ransomware gratuiti per MedusaLocker.

Poiché MedusaLocker è una forma relativamente nuova di ransomware, il software di sicurezza non è stato aggiornato per rilevare questa minaccia.

Malwarebytes e Microsoft Windows Defender sono gli unici due programmi antivirus che attualmente rilevano questo malware.

In ogni caso, ciò non consente anche di rimuovere ransomware decriptare file.

Per riuscire a recuperare i propri dati, le vittime di questo ransomware devono fare affidamento su servizi professionali come società di sicurezza informatica o forze dell’ordine per chiedere aiuto.

HelpRansomware è l’azienda numero 1 al mondo in rimozione di ransomware, sicurezza informatica e crittografia.

Un team dedicato si prenderà cura del tuo caso nella delicata situazione in cui la velocità di azione è fondamentale.

È possibile decriptare i miei file da MedusaLocker senza pagare l’hacker?

Se vieni attaccato da un ransomware non devi mai pagare il riscatto.

Secondo l’analisi di Acams, il 38% degli intervistati è d’accordo con questa affermazione: non bisogna mai pagare il riscatto.

Il 36%, invece, ammette la possibilità di pagare il riscatto in caso di pericolo per la sicurezza nazionale.

Per il 29% si può pagare il riscatto per evitare ripercussioni operative e reputazionali.

Pagare il riscatto, oltre a non garantirti il recupero dei dati, ti rende anche una vittima più vulnerabile agli occhi degli hacker.

Questa affermazione è supportata dall’85% degli intervistati.

L’unico modo realmente efficace per la decrittazione ransomware  MedusaLocker è rivolgersi a degli specialisti.

MedusaLocker consegna la chiave di decriptazione dopo il pagamento del riscatto?

La risposta non è semplice, dipende da diversi fattori.

Alcune vittime hanno riferito di aver ricevuto la decryption key dopo aver pagato il riscatto, mentre altre non sono state così fortunate.

Come riportato da Cybereason, l’80% delle aziende che hanno pagato il riscatto sono state colpite una seconda volta e il 40% ha pagato di nuovo.

Il 70% di questo secondo gruppo ha affermato di aver pagato un prezzo più alto la seconda volta.

La migliore raccomandazione è di non pagare il riscatto.

Il ransomware nel settore sanitario è un discorso a parte, perchè la vulnerabilità delle informazioni e l’impossibilità di interrompere l’attività, rendono questo ambito più a rischio.

MedusaLocker ransomware indicatori della violazione

È importante conoscere gli indicatori di una violazione, in modo da poter adottare misure per proteggere i dati e mitigare il danno.

Innanzitutto bisogna dire che alcuni tipi di ransomware potrebbero non presentare alcun segno di violazione.

In questi casi le vittime non sanno di essere state colpite finché non vedono che i dati sono stati crittografati o quando ricevono la richiesta di decrittazione.

La maggior parte delle vittime verrà informata dell’attacco tramite un messaggio di posta elettronica, un messaggio di testo o una finestra pop-up con la nota di riscatto.

Comunque, ci sono vari indizi del fatto che sei stato attaccato da un ransomware.

Potresti notare un aumento del traffico di rete, per esempio.

Oppure potrebbe essere che il tuo computer si riavvia da solo più volte.

Se noti dei comportamenti strani, disconnetti il dispositivo dalla rete internet in modo da non compromettere altri eventuali utenti connessi.

File criptati da MedusaLocker

Per capire se i tuoi file sono stati crittografati da MedusaLocker, il modo più semplice è controllare se ci sono cambiamenti nell’estensione dei file.

La lista totale delle estensioni collegate a questo ransomware include, oggi, 139 varianti.

Secondo quanto riportato da Proven Data, le più comuni sono le seguenti:

• .ReadTheInstructions;
• .READINSTRUCTION;
• .ReadInstructions;
• .Malware;
• .redplague;
• .hellomynameisransom;
• .abstergo;
• .readinstructions;
• .deadfiles;
• .EMPg296LCK;
• .zoomzoom;
• .versus2;
• .versus4;
• .lockfilesbw;
• .lockfiles;
• .deadfiles.

È anche possibile che MedusaLocker rinomini l’intero file.

Anche i cambiamenti improvvisi nella dimensione dei file sono un sintomo di un ransomware attack.

Inoltre, MedusaLocker in genere lascia dietro di sé programmi dannosi che possono essere rilevati utilizzando un programma antivirus.

Nota di riscatto di MedusaLocker

Quando MedusaLocker infetta un sistema, lascia una richiesta di riscatto che avvisa le vittime dell’attacco.

Questa richiesta di riscatto in genere contiene istruzioni su come pagare per riottenere l’accesso ai propri file crittografati.

Inoltre, contiene avvertenze su come il mancato pagamento comporterà la perdita permanente dei dati.

La richiesta di riscatto con le istruzioni viene inserita in ogni cartella contenente un file crittografato.

Alle vittime viene fornito uno specifico indirizzo di portafoglio Bitcoin per effettuare il pagamento del riscatto.

Portale MedusaLocker

Alcune richieste di riscatto, a volte, inseriscono anche un link Tor a un portale di MedusaLocker.

Spesso questi link non sono funzionanti, ma in generale il portale viene utilizzato come punto di raccolta delle vittime del ransomware.

Lì è presente una piattaforma per le vittime per entrare in contatto con gli aggressori e negoziare un pagamento di riscatto.

Il ransomware MedusaLocker ruba dati?

Siccome MedusaLocker appartiene alla macro famiglia dei locker ransomware, il suo scopo principale non è quello di rubare i dati.

Questo tipo di ransomware, infatti, blocca i dati degli utenti nel tentativo di estorcere denaro agli utenti.

La sua caratteristica primaria, quindi, è quella di bloccare i dati, non rubarli.

Ma con l’aumento della tecnica di ransomware doppia estorsione, anche questo malware si sta muovendo in quella direzione.

DI fatto, acquisisce anche foto personali, video o file di testo prima di crittografarli e archiviarli sui propri server per estorcere ancora più denaro alle vittime in seguito.

Quanto costa il recupero dal ransomware MedusaLocker?

L’importo del riscatto varia molto.

Secondo i report di IBM, nel 2022, il costo medio di un data breach ha toccato i 4,35 milioni di dollari, un record rispetto agli ultimi anni.

Il costo del ripristino da MedusaLocker ransomware dipende dal tipo di attacco, dal numero di sistemi interessati e dalla gravità del danno.

I dati di Proven Data riportano che la domanda iniziale di riscatto si aggira intorno ai 12mila dollari.

Considera inoltre che la piattaforma di pagamento online in cui viene consegnato questo malware può anche imporre una commissione oltre all’importo del riscatto.

È importante notare che il pagamento del riscatto non garantisce la restituzione dei dati.

Pertanto, si consiglia sempre di investire in soluzioni di sicurezza affidabili come misura preventiva contro questo tipo di attacco.

Quanto tempo ci vuole per recuperarsi da un attacco del ransomware MedusaLocker?

Il recupero da un attacco ransomware MedusaLocker può essere un processo lungo e difficile.

Le fasi fondamentali di questo processo sono tre:

• Rimuovere completamente il software dannoso;
• Ripristinare file criptati;
• Implementare le misure di sicurezza per proteggersi da attacchi futuri.

A seconda della gravità dell’attacco, potrebbero essere necessari da giorni a settimane o addirittura mesi per riprendersi completamente da un attacco ransomware MedusaLocker.

Qual è la percentuale di successo di recupero dati per il ransomware MedusaLocker?

Sfortunatamente, può essere difficile recuperare i dati che sono stati crittografati dal ransomware MedusaLocker.

Ciò dipende dall’algoritmo AES 256 protetto con crittografia RSA-2048, che rende difficile aprire file criptati senza la chiave corretta.

In generale, per gli altri tipi di ransomware, le percentuali non sono così tragiche.

Come riportato da Cybereason, il 78% delle aziende che ha dichiarato di non aver pagato il riscatto, ha detto di aver ripristinato sistemi e dati senza ricevere la chiave di decrittazione.

Avere un backup o un punto di ripristino precedente all’infezione del ransomware, ti permette di tornare in possesso dei tuoi dati in maniera facile.

Vittime di MedusaLocker

Il ransomware MedusaLocker si sta rivelando molto pericoloso.

Ha colpito migliaia di aziende e organizzazioni, causando loro perdite per milioni di dollari in danni.

Secondo la homepage del portale di MedusaLocker, il ransomware ha colpito più di 80 paesi.

Le aziende colpite da ransomware si situano soprattutto in 20 Paesi:

• Argentina;
• Canada;
• Cile;
• Colombia;
• Costa Rica;
• Danimarca;
• Ecuador;
• Francia;
• Germania;
• Austria;
• Slovenia;
• Spagna;
• Svizzera;
• UAE;
• Regno Unito;
• USA.

Probabilmente sono molte di più le società colpite da questo attacco, non presenti nell’elenco a causa della mancanza di disponibilità di dati.

L’analisi di Coveware permette di farsi un’idea generale su quali sono i settori aziendali più colpiti dal ransomware nel secondo quadrimestre del 2022:

I servizi professionali (21,9%) e il settore pubblico (14,4%) guidano la classifica, seguiti dal settore sanitario (10%).

Come evitare che l’attacco di MedusaLocker accada di nuovo?

Il modo migliore per evitare che un attacco MedusaLocker si ripeta è implementare adeguate misure di sicurezza.

Ciò include l’utilizzo di:

• Password complesse;
• Processo per notificare al team IT le modifiche alla rete;
• Autenticazione a due fattori per tutti gli account;
• Aggiornamento regolare di software e sistemi con le patch di sicurezza più recenti;
• Educazione dei dipendenti sui pericoli del web.

Inoltre, le organizzazioni dovrebbero anche investire in soluzioni di backup affidabili in modo da poter recuperare rapidamente da qualsiasi attacco ransomware.

Come riportato da Delinea, le azioni che più spesso sono state prese nel 2022 per prevenire un attacco ransomware sono:

• Aggiornamenti di software e sistemi: 53%;
• Backup regolari dei dati sensibili: 52%;
• Miglioramento delle best practice rispetto alle password: 51%;
• Autenticazione multi-fattori: 50%;
• Implementazione del controllo per le applicazioni: 23%;
• Disabilitazione delle macro dagli allegati mail: 19%;
• Privilegi minimi: 15%.

Adottando queste misure, le aziende possono assicurarsi di essere protette da attacchi futuri e ridurre al minimo il rischio di perdite finanziarie dovute agli attacchi ransomware.

Conclusioni

In questa guida ti abbiamo spiegato tutto quello che c’è da sapere sul ransomware MedusaLocker, uno dei più pericolosi malware visti di recente.

Queste sono le conclusioni che puoi trarre dal testo:

• MedusaLocker è un ransomware dannoso che è stato osservato per la prima volta alla fine di ottobre 2019;
• MedusaLocker appartiene alla famiglia di STOP DJVU ransomware, che negli ultimi anni è diventata una delle forme più comuni di malware;
• MedusaLocker ransomware può diffondersi tramite e-mail dannose, download e altri siti Web;
• MedusaLocker ransomware utilizza diversi vettori di attacco per ottenere l’accesso al sistema di destinazione: il 58% degli intervistati ha un piano di risposta agli incidenti informatici;
• Sfortunatamente, non sono disponibili strumenti decrittazione ransomware gratuiti per MedusaLocker;
• L’80% delle aziende che hanno pagato il riscatto sono state colpite una seconda volta e il 40% ha pagato di nuovo;
• Il 78% delle aziende che ha dichiarato di non aver pagato il riscatto, ha detto di aver ripristinato sistemi e dati senza ricevere la chiave di decrittazione.

Contatta HelpRansomware per avere una soluzione personalizzata per decrittare i file crittografati dal ransomware.