Rispettivamente la chiave per la cifratura e il file con le istruzioni per pagare il riscatto e recuperare i file.<\/p>\n
MedusaLocker carica anche due elenchi di processi e servizi che verranno terminati ed eliminati durante la sua esecuzione per garantire che qualsiasi file che potrebbe contenere informazioni preziose non venga esaminato dalle modifiche da parte dei processi e dei servizi in questi elenchi. Questi elenchi includono processi e servizi come database, server web, soluzioni di sicurezza, ecc. Dopo che il processo \u00e8 stato eseguito il malware controller\u00e0 se il mutex hardcoded all’interno del registro con nome “{8761ABBD-7F85-42EE-B272-A76179687C63}” esiste, in caso contrario, lo creer\u00e0. I mutex vengono solitamente utilizzati dagli autori di malware per evitare l’infezione di un sistema da istanze diverse dello stesso malware, inoltre possono essere utilizzati per verificare se il malware \u00e8 gi\u00e0 in esecuzione su un sistema. Continuando\u00a0 il malware controller\u00e0 con quali privilegi \u00e8 in esecuzione queste informazioni possono essere ottenute dal sistema utilizzando l’API denominata GetTokenInformation che pu\u00f2 essere utilizzata per ottenere un elenco dei privilegi abilitati e disabilitati detenuti da un token di accesso. Se non \u00e8 in esecuzione con privilegi amministrativi, eseguir\u00e0 il bypass UAC. Questa \u00e8 una nota tecnica di bypass del controllo dell’account utente osservata in altre famiglie di malware come Trickbot nelle sue prime iterazioni e LockBit per citarne alcuni. MedusaLocker utilizza i metodi CMSTPLUA e ICMLuaUtil per l’elevazione a privilegi amministrativi.<\/p>\n
Vengono poi eseguiti una serie di comandi per cancellare i backups e le opzioni di recupero:<\/p>\n
- \n
- vssadmin.exe Delete Shadows \/All \/Quiet<\/em><\/li>\n
- bcdedit.exe \/set {default} recoveryenabled No\u00a0<\/span><\/em>&\u00a0<\/span>bcdedit.exe \/set {default} bootstatuspolicy ignoreallfailures<\/em><\/li>\n
- wbadmin DELETE SYSTEMSTATEBACKUP\u00a0<\/span><\/em>&\u00a0<\/span>wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest<\/em>:<\/span><\/li>\n
- wmic.exe SHADOWCOPY \/nointeractive<\/em><\/li>\n<\/ul>\n\n\n\n
![\"\"](\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/07\/Immagine-2021-07-26-141611-1.png\")
<\/figure>\n\n\n\nPer crittografare il pi\u00f9 possibile localmente e in remoto, MedusaLocker esegue un’enumerazione della rete locale utilizzando i pacchetti ICMP, questo metodo \u00e8 noto come ping sweep o ICMP sweep e viene utilizzato per cercare un host live in un intervallo di rete. Infine, crittografer\u00e0 i file in base a delle sue regole per evitare determinate estensioni di file e cartelle. <\/p>\n\n\n\n
Analisi Statica<\/h2>\n\n\n\n
Tag<\/h4>\n\n\n\n
Ransomware<\/strong><\/span><\/p>\n\n\n\n
Dettagli<\/strong><\/p>\n\n\n\n
FILENAME<\/td> 64CO.EXE<\/td><\/tr> MD5<\/td> A80B79DE02D6881D5E54AFCEFA38298A<\/td><\/tr> SHA1<\/td> E0D3E2612A757FF5BE818B114028A0E4BB562BC5<\/td><\/tr> SHA256<\/td> 033B4950A8F249B20EB86EC6F8F2EA0A1567BB164289D1AA7FB0BA51F9BBE46C<\/td><\/tr> FILE-SIZE<\/td> 1230848 (bytes)<\/td><\/tr> ENTROPY<\/td> 5.604<\/td><\/tr> IMPHASH<\/td> 86B16FE05257643ECB30B235FCECAC57<\/td><\/tr> CPU<\/td> 64-BIT<\/td><\/tr> VIRUSTOTAL<\/td> 35\/70<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Indicatori di Compromissione (IOC) <\/h2>\n\n\n\n
Indirizzo<\/td> 62.182.158[.]226 <\/td><\/tr> SHA256 <\/td> 033B4950A8F249B20EB86EC6F8F2EA0A1567BB164289D1AA7FB0BA51F9BBE46C <\/td><\/tr> reg_key <\/td> HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\MSFEEditor <\/td><\/tr> reg_value <\/td> “C:\\Users\\user\\AppData\\Local\\Temp\\64CO.exe” e <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":"
Il ransomware MedusaLocker \u00e8 emerso per la prima volta nel settembre 2019, infettando e crittografando le macchine Windows in tutto il mondo. Sono stati segnalati attacchi MedusaLocker in pi\u00f9 settori, in particolare il settore sanitario che ha subito una grande quantit\u00e0 di attacchi ransomware durante la pandemia COVID-19. Al fine di massimizzare le possibilit\u00e0 di […]<\/p>\n","protected":false},"author":1,"featured_media":2696,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2973","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2973","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2973"}],"version-history":[{"count":0,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2973\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2973"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2973"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2973"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- bcdedit.exe \/set {default} recoveryenabled No\u00a0<\/span><\/em>&\u00a0<\/span>bcdedit.exe \/set {default} bootstatuspolicy ignoreallfailures<\/em><\/li>\n