據(jù)BleepingComputer消息，過去兩年一向低調(diào)的勒索軟件組織Medusa（美杜莎）近期開始變得活躍，目標(biāo)針對(duì)全球范圍內(nèi)的多個(gè)企業(yè)組織，并索要數(shù)百萬美元贖金。本月初，Medusa襲擊了明尼阿波利斯公立學(xué)校 (MPS) ，索要100 萬美元的贖金。

Medusa 最早出現(xiàn)于2021 年 6 月，在今年之前所記錄到的攻擊活動(dòng)相對(duì)較少。但到了 2023 年，該組織的活動(dòng)明顯增加，并推出了一個(gè)“Medusa博客”，用于泄露那些拒絕支付贖金的受害者數(shù)據(jù)。

Medusa的加密策略

BleepingComputer 分析了適用于 Windows系統(tǒng)的 Medusa 加密器，目前尚不清楚是否有適用于 Linux 的加密器。

Windows 加密器的命令行選項(xiàng)能夠允許攻擊者配置文件在設(shè)備上的加密方式：

# Command Line
Option | Description
---------------------
-V | Get version
-d | Do not delete self
-f | Exclude system folder
-i | In path
-k | Key file path
-n | Use network
-p | Do not preprocess (preprocess = kill services and shadow copies)
-s | Exclude system drive
-t | Note file path
-v  | Show console window
-w | Initial run powershell path (powershell -executionpolicy bypass -File %s)

例如，-v 命令行參數(shù)將導(dǎo)致勒索軟件顯示一個(gè)控制臺(tái)，在它加密設(shè)備時(shí)顯示狀態(tài)消息。

Medusa 勒索軟件控制臺(tái)窗口

在沒有命令行參數(shù)的常規(guī)運(yùn)行中，Medusa 勒索軟件將終止 280 多個(gè) Windows 服務(wù)和程序進(jìn)程，這些程序可能會(huì)阻止文件被加密。其中包括用于郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器、備份服務(wù)器和安全軟件的 Windows 服務(wù)。隨后，Medusa將刪除 Windows 卷影副本以防止文件被恢復(fù)：

deletes shadow volume copies
vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=%s /on=%s /maxsize=unbounded

為防止從備份恢復(fù)文件，Medusa將運(yùn)行以下命令來刪除本地存儲(chǔ)的相關(guān)備份文件。此命令還將刪除虛擬機(jī)使用的虛擬硬盤驅(qū)動(dòng)器 (VHD)：

del /s /f /q %s*.VHD %s*.bac %s*.bak %s*.wbcat %s*.bkf %sBackup*.* %sbackup*.* %s*.set %s*.win %s*.dsk

在加密文件時(shí)，該勒索軟件會(huì)將“.Medusa"擴(kuò)展名附加到被加密的文件名中。在每個(gè)文件夾中，Medusa都會(huì)創(chuàng)建一個(gè)名為 !!!READ_ME_MEDUSA!!!.txt 文本的贖金票據(jù)，除了告知受害者文件被加密的情況，還會(huì)包括Tor 數(shù)據(jù)泄露網(wǎng)站、Tor 協(xié)商網(wǎng)站、Telegram 頻道、Tox ID 和 key.medusa.serviceteam@protonmail.com 電子郵件地址等聯(lián)系信息。

Tor 協(xié)商網(wǎng)站自稱為“安全聊天”（Secure Chat），其中每個(gè)受害者都有一個(gè)唯一的 ID，可用于與勒索軟件組織進(jìn)行通信。

Medusa 的 Secure Chat 通信網(wǎng)站

與大多數(shù)以企業(yè)為目標(biāo)的勒索軟件組織一樣，Medusa 有一個(gè)名為“Medusa Blog”的數(shù)據(jù)泄露網(wǎng)站。該網(wǎng)站被用作織雙重勒索策略的一部分，會(huì)在被拒絕支付贖金后泄露受害者數(shù)據(jù)。

Medusa Blog

當(dāng)受害者被添加到數(shù)據(jù)泄露網(wǎng)站中時(shí)，Medusa為受害者提供了付費(fèi)選項(xiàng)，以在數(shù)據(jù)發(fā)布前延長(zhǎng)倒計(jì)時(shí)、刪除數(shù)據(jù)或下載所有數(shù)據(jù)。這些選項(xiàng)中的每一個(gè)都有不同的價(jià)格，比如延長(zhǎng)1天需要支付1萬美元。

數(shù)據(jù)泄露站點(diǎn)的支付選項(xiàng)

這三個(gè)支付選項(xiàng)是為了對(duì)受害者施加額外壓力，迫使他們支付贖金。

到目前為止，還未發(fā)現(xiàn)針對(duì)Medusa的有效解密器，研究人員將繼續(xù)分析，尋找其中的弱點(diǎn)。

Medusa真假難辨

BleepingComputer指出，有許多惡意軟件都自稱為Medusa，包括具有勒索軟件功能的Mirai 的僵尸網(wǎng)絡(luò)以及廣為人知的 MedusaLocker 勒索軟件。就 MedusaLocker而言，該惡意軟件組織最早出現(xiàn)于2019年，擁有眾多附屬組織以及名為 ”How_to_back_files.html“ 的贖金票據(jù)，文件加密擴(kuò)展名也不止一個(gè)，這些都不同于Medusa的顯著特征。