索勒solar-反勒索病毒

MedusaLocker

MedusaLocker 参与者主要依靠远程桌面协议（RDP）中的漏洞来访问受害者的网络。MedusaLocker 演员对受害者的数据进行加密，并在包含加密文件的每个文件夹中留下带有通信说明的赎金票据。该说明指示受害者向特定的比特币钱包地址提供勒索软件付款。MedusaLocker 似乎根据观察到的赎金支付拆分作为勒索软件即服务（RaaS）模型运行。典型的 RaaS 模型涉及勒索软件开发人员和在受害者系统上部署勒索软件的各种附属公司。MedusaLocker 勒索软件付款似乎始终在附属公司之间分配，附属公司收到 55% 到 60% 的赎金;以及接收剩余部分的开发人员。

首次出现时间：

2021-11

攻击方法：

MedusaLocker 勒索软件行为者通常通过易受攻击的远程桌面协议（RDP）配置访问受害者设备。行为者还经常使用电子邮件网络钓鱼和垃圾邮件活动（直接将勒索软件附加到电子邮件中）作为初始入侵媒介。 MedusaLocker 勒索软件使用批处理文件执行 PowerShell 脚本。此脚本通过编辑受感染机器注册表中的值，将 MedusaLocker 传播到整个网络，然后允许受感染机器通过 Internet 控制消息协议（ICMP）检测连接的主机和网络，并通过服务器消息块（SMB）协议检测共享存储。invoke-ReflectivePEInjectionEnableLinkedConnections MedusaLocker 然后：

重新启动服务，这将使注册表编辑生效。LanmanWorkstation
终止知名安全、会计和取证软件的进程。
以安全模式重新启动本机以避免被安全软件检测到。
使用 AES-256 加密算法加密受害者文件;然后使用 RSA-2048 公钥对生成的密钥进行加密。
每 60 秒运行一次，加密所有文件，但对受害者计算机功能至关重要的文件和具有指定加密文件扩展名的文件除外。
通过将可执行文件（或）复制到目录并安排任务每 15 分钟运行一次勒索软件来建立持久性。svhost.exesvhostt.exe%APPDATA%\Roaming
尝试通过删除本地备份、禁用启动恢复选项和删除卷影副本来阻止标准恢复技术。 MedusaLocker 演员将赎金票据放入每个包含受害者加密数据的文件的文件夹中。该说明概述了如何与 MedusaLocker 演员沟通，通常为受害者提供一个或多个可以联系到演员的电子邮件地址。MedusaLocker 赎金要求的大小似乎根据演员感知的受害者的财务状况而有所不同。

勒索地址：

平台一、自建暗网网站

登录页：

地址：http://z6wkgghtoawoxxxxxxxxxxxxxxxzs7c3yvwr22v4czbffdoly2kl4uad.onion
界面：暂未信息
解释：这是勒索软件的博客（blog）

平台二、使用过的邮箱

traceytevin@protonmail.com	decoder83540@cock.li	beacon@msgsafe.io
unlock_file@aol.com	decra2019@gmail.com	best666decoder@tutanota.com
unlock_file@outlook.com	diniaminius@winrof.com	bitcoin@mobtouches.com
support@exoprints.com	dirhelp@keemail.me	encrypt2020@outlook.com
support@exorints.com	support@itwgset.com	fast-help@inbox.lv
support@fanbridges.com	support@novibmaker.com	fuc_ktheworld1448@outlook.com
support@faneridges.com	support@securycasts.com	fucktheworld1448@cock.li
perfection@bestkoronavirus.com	rewmiller-1974@protonmail.com	gartaganisstuffback@gmail.com
pool1256@tutanota.com	rpd@keemail.me	emaila.elaich@iav.ac.ma
rapid@aaathats3as.com	soterissylla@wyseil.com	emd@jitjat.org
rescuer@tutanota.com	support@careersill.com	encrypt2020@cock.li
ithelp01@decorous.cyou	karloskolorado@tutanota.com	best666decoder@protonmail.com
ithelp01@wholeness.business	kevynchaz@protonmail.com	ithelp@decorous.cyou
ithelp02@decorous.cyou	korona@bestkoronavirus.com	ithelp@decorous.cyoum
ithelp02@wholness.business	lockPerfection@gmail.com	ithelp@wholeness.business
ithelpresotre@outlook.com	lockperfection@gmail.com	gavingonzalez@protonmail.com
cmd@jitjat.org	mulierfagus@rdhos.com	gsupp@onionmail.org
coronaviryz@gmail.com	rescuer@cock.li	gsupp@techmail.info
dec_helper@dremno.com	107btc@protonmail.com	helper@atacdi.com
dec_helper@excic.com	33btc@protonmail.com	helper@buildingwin.com
dec_restore@prontonmail.com	777decoder777@protonmail.com	helprestore@outlook.com
dec_restore1@outlook.com	777decoder777@tfwno.gf	helptorestore@outlook.com
bitcoin@sitesoutheat.com	andrewmiller-1974@protonmail.com	best666decoder@protonmail.com
briansalgado@protonmail.com	angelomartin-1980@protonmail.com	beacon@jitjat.org
bugervongir@outlook.com	ballioverus@quocor.com

捕获分析：

https://solarsecurity.cn/posts/detail?id=4

加密算法：

AES-256 RSA-2048

加密钱包：

来源：Solar团队通过勒索信地址访问MeadusaLocker谈判页获取以及从网上收录

种类	详情
btc	12xd6KrWVtgHEJHKPEfXwMVWuFK4k1FCUF
btc	14cATAzXwD7CQf35n8Ea5pKJPfhM6jEHak
btc	14oH2h12LvQ7BYBufcrY5vfKoCq2hTPoev
btc	14oxnsSc1LZ5M2cPZeQ9rFnXqEvPCnZikc
btc	184ZcAoxkvimvVZaj8jZFujC7EwR3BKWvf
btc	18wRbb94CjyTGkUp32ZM7krCYCB9MXUq42
btc	1AbRxRfP6yHePpi7jmDZkS4Mfpm1ZiatH5
btc	1AereQUh8yjNPs9Wzeg1Le47dsqC8NNaNM
btc	1BkmiGWPLum8MzusqZsq6Tn7v4oUjqPLjC
btc	1DeNHM2eTqHp5AszTsUiS4WDHWkGc5UxHf
btc	1DRxUFhvJjGUdojCzMWSLmwx7Qxn79XbJq
btc	1DyMbw6R9PbJqfUSDcK5729xQ57yJrE8BC
btc	1Edcufenw1BB4ni9UadJpQh9LVx9JGtKpP
btc	1HEDP3c3zPwiqUaYuWZ8gBFdAQQSa6sMGw
btc	1HdgQM9bjX7u7vWJnfErY4MWGBQJi5mVWV
btc	1HZHhdJ6VdwBLCFhdu7kDVZN9pb3BWeUED
btc	1PopeZ4LNLanisswLndAJB1QntTF8hpLsD
btc	1PormUgPR72yv2FRKSVY27U4ekWMKobWjg
btc	1nycdn9ebxht4tpspu4ehpjz9ghxlzipll
btc	bc1q9jg45a039tn83jk2vhdpranty2y8tnpnrk9k5q
btc	bc1qy34v0zv6wu0cugea5xjlxagsfwgunwkzc0xcjj
btc	bc1qz3lmcw4k58n79wpzm550r5pkzxc2h8rwmmu6xm