Medusa Stealer Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Python.Stealer.707
BitDefender -> ***
ESET-NOD32 -> Python/Agent.VM
Kaspersky -> ***
Malwarebytes -> Spyware.MedusaStealer
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Trojan.Generic@AI.81 (RDML:l1cDUB***
Tencent -> Win32.Trojan.Dropper.Rwhl
TrendMicro -> TROJ_FRS.VSNTK622
---
Обнаружения:
DrWeb -> Python.Stealer.707
BitDefender -> ***
ESET-NOD32 -> Python/Agent.VM
Kaspersky -> ***
Malwarebytes -> Spyware.MedusaStealer
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Trojan.Generic@AI.81 (RDML:l1cDUB***
Tencent -> Win32.Trojan.Dropper.Rwhl
TrendMicro -> TROJ_FRS.VSNTK622
---
DrWeb -> Linux.DownLoader.37
BitDefender -> Trojan.GenericFCA.Agent.70624
Kaspersky -> HEUR:Trojan-Downloader.Shell.Agent.p
McAfee -> Linux/Downloader.p
Microsoft -> TrojanDownloader:SH/Medusa.A!MTB
Rising -> Downloader.Agent!8.B23 (TOPIS:E0:bYEpUz0QOWI)
Tencent -> Win32.Trojan-Downloader.Agent.Lajl
TrendMicro -> Possible_BASHDLOD.SMLBO2
---
© Генеалогия: Medusa более ранний вариант >> Medusa Stealer
Сайт "ID Ransomware" идентифицирует это как Medusa Stealer.
© Генеалогия: Medusa более ранний вариант >> Medusa Stealer
Информация для идентификации
Предыдущие образцы были найдены в середине октября 2022. Активность этого крипто-вымогателя пока не наблюдается, но информация об использовании функционала в ботнете была получена в начале февраля 2023 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .medusastealer
Записка с требованием выкупа выводится на экране:
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Скриншот страниц сайта вымогателей
Записка с требованием выкупа выводится на экране:
Содержание записки о выкупе:
Your files have been encrypted with Medusa Stealer
To decrypt your files, send 0.5 BTC to the following address: 1Jw***
After sending the BTC, send an email to medusa-stealergprotonmail.com with the following ID:
Your files will be decrypted within 24 hours
If you do not send the BTC, your files will be deleted within 24 hours
Medusa Stealer Malware
Перевод записки на русский язык:
Ваши файлы зашифрованы с Medusa Stealer
Чтобы расшифровать ваши файлы, пошлите 0,5 BTC на следующий адрес: 1Jw***
После отправки BTC отправьте email на medusa-stealergprotonmail.com со следующим ID: ***
Ваши файлы будут расшифрованы в течение 24 часов
Если вы не отправите BTC, ваши файлы будут удалены в течение 24 часов.
Medusa Stealer Malware
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Скриншот страниц сайта вымогателей
HTTP Monitoring Tool
Security Experts
Medusa Stealer's est un outil de contrôle d'accès à distance en ligne axé sur la récupération et l'extraction de données destiné aux développeurs et aux analystes en cybersécurité pour tester leurs applications. Nous sommes la nouvelle ère de la surveillance basée sur le cloud.
Fonctions riches & dynamiques
Nous disposons d'un panneau de contrôle incroyablement riche qui vous permet de personnaliser vos contrôles à votre guise, en maximisant votre champ d'essai, ce qui se traduira par une expérience optimale.
Перевод на русский (от Google):
Инструмент мониторинга HTTP
Эксперты по безопасности
Medusa Stealer — это онлайн-инструмент управления удаленным доступом, ориентированный на восстановление и извлечение данных для разработчиков и аналитиков по кибербезопасности для тестирования своих приложений. Мы — новая эра облачного мониторинга.
Богатые и динамичные функции
У нас есть невероятно богатая панель управления, которая позволяет вам настраивать элементы управления по своему вкусу, максимизируя ваше тестовое поле, что приведет к наилучшему опыту.
Технические детали + IOC
Распространяется с помощью ботнета Mirai как часть функционала с модулем, предназначенным для вымогательства. При запуске ботнет Mirai подключается к C&C серверу и извлекает файл medusa_stealer.sh, который затем выполняется. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
На рисунке ниже показан фрагмент кода функции MedusaRansomware(), используемой для шифрования файлов.
По данным исследователей из Cyble, первыми изучившими функционал вымогателя, данный функционал содержит ошибку и, вероятно, пока находится в разработке. Неизвестно, насколько распространяется его активность и в каких странах применяется.
После шифрования файлов на устройстве вредоносное ПО засыпает на 86 400 секунд (24 часа), а затем удаляет все файлы на системных дисках. После удаления файлов оно отображает записку о выкупе, в которой требует заплатить 0,5 BTC (11 400 долларов США), что нелогично для получения выкупа. Cyble считает, что это ошибка в коде, поскольку удаление файлов на системных дисках делает невозможным использование жертвами своих систем и чтение записки о выкупе. Эта ошибка также указывает на то, что новый вариант или, по крайней мере, эта функция все еще находится в разработке.
Функция send_data () используется для сбора различной информации о системе и отправки её на удаленный сервер по адресу hxxps://medusa-stealer[.]cc/add/bot. Функция send_data () вызывает внутреннюю функцию all_data_system() , которая собирает такую информацию, как имя пользователя, имя хоста, IP-адрес, ОС, использование ЦП и ОЗУ, общее количество ядер ЦП и уникальный идентификатор системы. Собранная информация сохраняется в словарной переменной data и возвращается функцией.
На рисунке выше показан фрагмент кода функции send_data(), используемой для эксфильтрации данных.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
.bat, .c, .cpp, .cs, .css, .docb,
.docm, .dotm, .go, .html, .inf, .java, .js, .lnk, .mfl, .mht, .mhtml, .mof, .mrb,
.mrc, .msh, .msh1, .msh1xml, .msh2, .msh2xml, .mshxml, .php, .pl, .potm, .ppam,
.ppsm, .pptm, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .psd1, .psm1, .psrc, .rb,
.reg, .scf, .sh, .sldm, .svg, .svgz, .wsc, .wsf, .wsh, .xlam, .xlsm, .xltm, .xml,
.xsd, .xsl,
Это документы и шаблоны MS Office, файлы веб-страниц, PowerShell-файлы, векторная графика и пр.
Файлы, связанные с этим Ransomware:
medusa_stealer.sh - извлеченный и исследованный вредоносный файл;
Файлы, связанные с этим Ransomware:
medusa_stealer.sh - извлеченный и исследованный вредоносный файл;
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: hxxxs://medusa-stealer.cc - адрес сайта и C&C-сервера
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: hxxxs://medusa-stealer.cc - адрес сайта и C&C-сервера
Email: medusa-stealer@protonmail.com
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: bdc0920c0aa76ce2b09eeb18d76fdc63
SHA-1: 4910858e175eb8b22f5821e2555e6aa6a0f143c2
SHA-256: 2a0047fe9748f2a45196dbf75e4f1a951d249daad380cbc9eab85ff66fb35814
Vhash: 086056656d1575604013z3005emz11fz
Imphash: fa2936ff523bbe01bb11c81e10c9ad2d
MD5: e3a08ffb7106ece9612d3aa8078a8287
SHA-1: c059eec897c48b81cfc6a6765e176cc88231c31e
SHA-256: 87b5ba7da8aa64721baca0421a01e01bb1f1ca8a2f73daa3ca2f5857e353c182
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Topic of Support ***
Thanks: AuCyble, BleepingComputer, S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.