Come Decriptare MedusaLocker E
Quanto Costa Recuperare I Dati
Scopri come decriptare MedusaLocker, come si diffonde e quanto costa
recuperare idati criptati da questo ransomware.

Cos’è MedusaLocker?
MedusaLocker è un ransomware dannoso che è stato osservato per la
prima volta alla fine di ottobre 2019.
È progettato per crittografare i file su un sistema informatico e
richiedere il pagamentoper la chiave di decrittazione.
MedusaLocker prendedi mira sia gli individui che le organizzazioni.
Dal 2018 al 2022,la percentuale di organizzazionivittime di ransomware
nel mondo è passata dal 55,1% al 71%,come riportato da Statista.
Si tratta di un aumento percentuale del + 29%.
MedusaLocker si qualifica come una delle minacce ransomware più
pericolose in circolazione, poiché ha la capacità di diffondersi sulle reti e
persino di disabilitare il software di sicurezza.

Cos’è il malware MedusaLocker?
In quanto ransomware, anche MedusaLocker appartiene alla macro
categoria dei malware.
Come spiegato dalla Cybersecurity and Infrastructure Security Agency
(CISA):
“Gli attori del ransomware MedusaLocker molto spesso ottengono
l'accesso ai dispositivi delle vittime attraverso configurazioni RDP
(Remote Desktop Protocol) vulnerabili. Gli attori utilizzano spesso anche
campagne e-mail di phishing e spam, allegando direttamente il
ransomware all'e-mail,come vettoriiniziali di intrusione”.
Una volta installato, crittograferà tutti i tuoi dati, inclusi documenti, foto,
video e altri file importanti.
Questo software dannoso è progettato per essere difficile da rilevare e
rimuovere, il che lo rende particolarmente pericoloso per gli utenti che
non sono a conoscenzadella sua presenza.
Famiglia del ransomware MedusaLocker
MedusaLocker è stato rilevato in più di 80 paesi in tutto il mondo,
rendendolo oggiuna delle minacce malware più diffuse.
Appartienealla famiglia di STOP DJVU ransomware,che negliultimi anni
è diventata una delle forme più comunidi malware.
La famiglia STOP (DJVU) è nota per la sua capacità di eludere il
rilevamento utilizzando sofisticate tecniche di crittografia e metodi anti-
rilevamento.

Ma il MedusaLocker,cosìcome suggerisce ilsuo nome,si può includere
anche nella più grande famiglia dei lockerransomware.
In questo grupporientrano anchetutte le versionidi CryptoLocker.
La differenza sostanziale tra i locker ransomware e i crypto
ransomware è che i primi bloccano le funzioni base del dispositivo;
mentre i secondi crittografano i dati senza interferire con le funzioni del
dispositivo.
Come si diffonde MedusaLocker?
MedusaLocker ransomware può diffondersi tramite e-mail dannose,
downloade altri siti Web.
Come nel caso di altri crimini informatici, è molto comune che questo
malware utilizzi l’ingegneria sociale per scovare le vulnerabilità degli
utenti.
I metodi più comuniperla diffusionesono riconducibili a due categorie:
● Downloaddannosi.
MedusaLocker viene fornito tramite download dannosimascherati
da software legittimo.
Questisoftware e programmifalsipossono sembrare attendibili,ma
in realtà consentono agli aggressori di accedere al tuo sistema
installandoaltre applicazionidannose invisibili.
Per prevenire questo tipo di attacco, si consiglia di installare un
programma anti ransomware e mantenere il proprio sistema
aggiornato.

● E-mail di phishing.
MedusaLocker può anche arrivare tramite e-mail di phishing che
sembrano essere comunicazioni legittime da banche o altri istituti
finanziari.
L'e-maildi phishingpuò incoraggiare l'utentead aggiornare idettagli
dell'account e la password facendo clic su un collegamento
all'interno dell'email, che installerà il malware sul sistema a sua
insaputa.
I numeri riportati da Statista dimostrano che nel 2022 i settori più
colpitida questa minacciasono statiquello finanziario (23,6%);dei
SaaS e webmail(20,5%); e-commerce(14,6%).
Nelle sue varie versioni, MedusaLocker è stato trovato su diverse
piattaforme informatiche,tra cui workstation,serveraziendalie persino
dispositivimobili.

Il ransomware prende il controllo del file system di un computer infetto
sostituendo il master boot record (MBR) originale con uno che
automaticamenteriavvia il computerognitot di tempo.
Ad ogni riavvio, il virus installa un nuovo MBR contenente codice
dannoso.
Quali vettori di attacco usa MedusaLocker?
MedusaLocker ransomware utilizza diversi vettori di attacco per
ottenere l'accessoal sistema di destinazione.
Secondo la classificazione MITRE ATT&CK, queste sono le matrici più
comuni:
● T1078, account validi: gli hacker utilizzano la forza bruta per
indovinarela passworde accedere alla rete della vittima;
● T1566, phishing: le mail con allegati sono sempre un metodo
efficace perentrare in possesso di dati sensibiliutili;
● T1133, servizi remoti esterni: gli hacker sfruttano i gateway
presentiin applicazionicome VPN per accedere alla rete;
● T1059.001, interprete di comandi e script PowerShell: i criminali
informatici possono utilizzare PowerShell per eseguire una serie di
azioni, tra cui il rilevamento diinformazionie l'esecuzione dicodice;
● T1047, strumenti di gestione Windows (WMI): viene usato per
eliminare le copie shadow del volume per impedire alle vittime di
recuperare file crittografati;
● T1547, esecuzione di avvio o accesso automatico:
MedusaLocker manda in esecuzione il virus ad ogni riavvio o
accesso aggiungendo vocial registro;

● T1548.002, bypass del controllo account utente (UAC): il
ransomware aggira i meccanismi UAC per elevare i privilegi in
modo tale da eseguire attività con autorizzazioni a livello di
amministratore;
● T1562.001,modificagli strumentidi sicurezza:in questo modo gli
hackerrendono impossibile rilevare il malware;
● T1562.009, avvio in modalità provvisoria: gli hacker possono
abusare della modalità provvisoria di Windows per disabilitare le
difese degli endpoint.
Questisono solo alcunidei vettori di attacco che MedusaLocker utilizza,
ma la lista è ancora più lunga.
Infatti, la pericolosità di questo attacco ransomware sta proprio nel gran
numero di possibilità che ha di entrare nei dispositivi delle vittime.
Come bloccare il ransomware MedusaLocker?
Per proteggersi dal ransomware MedusaLocker è essenziale adottare
misure preventive.
I suggerimenti che troverai qui di seguito corrispondono alle misure utili
da prendere perognuno dei vettori di attacco visti in precedenza:
● Assicurati che le applicazioni non memorizzino dati sensibili e
credenzialiin modo non sicuro;
● Controlla gli accounte i loro livelli di autorizzazione;
● Utilizza il controllo delle applicazioni quando riguarda
l’esecuzione di strumential di fuori delle politiche di sicurezza della
tua organizzazione;

● Verifica la presenza di punti deboli nell’UAC utilizzando il livello di
applicazione più elevato per il controllo dell’accountutente;
● Assicurati che il tuo sistema operativo sia completamente
aggiornato;
● Utilizza il controllo dell'applicazione configurato per bloccare
l'esecuzione degliWMI se non è necessaria;
● Limita l’accessoai servizi remoti e utilizza un'autenticazione forte a
due o più fattori;
● Abilita le ASR (Attack Surface Reduction) per impedire agli script
VisualBasic e JavaScriptdi eseguire i download potenzialmente
dannosi;
● Installare un programma antivirus affidabile che possa avere
l’opzione di isolare i file sospetti.
Inoltre, per limitare al massimo anche gli errori umani, limita il ruolo di
amministratore al minor numero di account, seguendo i principi dei
privilegi minimi.
Il report di Acams rileva che il 58% degli intervistati ha un piano di
risposta agli incidentiinformatici.

L’81% di questicrede che sia effettivamente utile.
Eliminazione del ransomware MedusaLocker
Per rimuovere MedusaLocker ransomware, devi prima identificare ed
eliminare il programmadannoso.
Hai due modiper farlo:
● Riavvia il computerin modalità provvisoria con rete;
● Scansiona iltuo computercon un anti spywareperscoprire qualifile
sono stati infettati da MedusaLockerransomware.
Questa prima opzione è più pratica e non richiede molte conoscenze
informatiche.
La seconda opzione,invece,è più drastica:
● Riavvia il computer in modalità provvisoria con il prompt dei
comandi;

● Avvia il processodi ripristino configurazionedi sistema;
● Scegli un punto di ripristino creato nel passato, prima
dell’infezione;
● Procedialla scansione delsistemaperconfermare che noncisiano
tracce del ransomware.
Queste indicazioni hanno senso se hai salvato un punto di ripristino del
sistema precedente.
In caso contrario, ripristinando il sistema da zero, alla configurazione di
fabbrica,perderaitutti i file e i dati presenti.
Come decriptare MedusaLocker?
MedusaLockergenera in modo casuale una chiave di crittografia ed è
praticamente impossibile decriptare i dati senza la chiave didecrittazione
corretta.
Considera che, come riportato da Cybereason, il 54% delle vittime ha
affermato che i problemi di sistema persistevano anche dopo la
decrittazione.

In altri casi,alcunidatisonorimastistatidanneggiatidopola decrittazione.
Il modo migliore per eliminare il malware e recuperare tutti i tuoi dati
è scegliere i servizi offertida un’aziendaspecializzata.
HelpRansomware unisce i migliori esperti del settore in grado di fornire
soluzionidurature ed efficaci.
Esistono tool gratuiti per decriptare MedusaLocker?
Sfortunatamente, non sono disponibili strumenti decrittazione
ransomware gratuitiper MedusaLocker.
Poiché MedusaLocker è una forma relativamente nuova di ransomware,
il software di sicurezza non è stato aggiornato per rilevare questa
minaccia.
Malwarebytes e Microsoft Windows Defender sono gli unici due
programmiantivirus che attualmente rilevanoquesto malware.

In ognicaso,ciò nonconsenteanchedi rimuovere ransomware decriptare
file.
Per riuscire a recuperare i propri dati, le vittime di questo ransomware
devono fare affidamento su servizi professionali come società di
sicurezza informatica o forze dell'ordine perchiedere aiuto.
HelpRansomware è l’azienda numero 1 al mondo in rimozione di
ransomware,sicurezza informatica e crittografia.
Un team dedicato si prenderà cura del tuo caso nella delicata situazione
in cui la velocità di azione è fondamentale.
È possibile decriptare i miei file da MedusaLocker senza
pagare l’hacker?
Se vieni attaccato da un ransomware non devi mai pagare il riscatto.
Secondo l’analisi di Acams, il 38% degli intervistati è d’accordo con
questa affermazione: non bisogna maipagare il riscatto.
Il 36%, invece, ammette la possibilità di pagare il riscatto in caso di
pericolo per la sicurezza nazionale.
Per il 29% si può pagare il riscatto per evitare ripercussionioperative e
reputazionali.

Pagare il riscatto,oltre a non garantirti il recupero deidati, ti rende anche
una vittima più vulnerabile agliocchidegli hacker.
Questa affermazione è supportata dall’85%degliintervistati.
L’unico modo realmente efficace per la decrittazione ransomware
MedusaLocker è rivolgersia degli specialisti.
MedusaLocker consegna la chiave di decriptazione
dopo il pagamento del riscatto?
La risposta non è semplice,dipendeda diversifattori.
Alcune vittime hanno riferito di aver ricevuto la decryption key dopo aver
pagato il riscatto, mentre altre non sono state così fortunate.
Come riportato da Cybereason,l’80% delle aziende che hanno pagato il
riscatto sono state colpite una seconda volta e il 40% ha pagato di
nuovo.

Il 70% di questo secondo gruppo ha affermato di aver pagato un prezzo
più alto la seconda volta.
La migliore raccomandazioneè di non pagare il riscatto.
Il ransomware nel settore sanitario è un discorso a parte, perchè la
vulnerabilità delle informazioni e l’impossibilità di interrompere l’attività,
rendono questo ambito più a rischio.
MedusaLocker ransomware indicatori della
violazione
È importante conoscere gli indicatori di una violazione,in modo da poter
adottare misure per proteggere idati e mitigare il danno.
Innanzitutto bisogna dire che alcuni tipi di ransomware potrebbero non
presentarealcun segnodi violazione.

In questi casi le vittime non sanno di essere state colpite finché non
vedono che i dati sono stati crittografati o quando ricevonola richiesta
di decrittazione.
La maggior parte delle vittime verrà informata dell'attacco tramite un
messaggio di posta elettronica, un messaggio di testo o una finestra
pop-up con la nota di riscatto.
Comunque, ci sono vari indizi del fatto che sei stato attaccato da un
ransomware.
Potresti notare un aumentodel traffico di rete, per esempio.
Oppure potrebbeessere che il tuo computersi riavvia da solo più volte.
Se noti dei comportamenti strani, disconnetti il dispositivo dalla rete
internetin modo da non compromettere altri eventualiutenticonnessi.
File criptati da MedusaLocker
Per capire se i tuoi file sono stati crittografatida MedusaLocker,il modo
più semplice è controllare se ci sono cambiamentinell’estensionedeifile.
La lista totale delle estensioni collegate a questo ransomware include,
oggi, 139 varianti.
Secondo quanto riportato da Proven Data,le più comunisono le seguenti:
● .ReadTheInstructions;
● .READINSTRUCTION;
● .ReadInstructions;
● .Malware;
● .redplague;

● .hellomynameisransom;
● .abstergo;
● .readinstructions;
● .deadfiles;
● .EMPg296LCK;
● .zoomzoom;
● .versus2;
● .versus4;
● .lockfilesbw;
● .lockfiles;
● .deadfiles.
È anche possibile che MedusaLockerrinominil’intero file.
Anche i cambiamenti improvvisi nella dimensione dei file sono un
sintomo di un ransomware attack.
Inoltre, MedusaLocker in genere lascia dietro di sé programmi dannosi
che possonoessererilevatiutilizzando un programma antivirus.
Nota di riscatto di MedusaLocker
Quando MedusaLocker infetta un sistema, lascia una richiesta di
riscatto che avvisa le vittime dell'attacco.

Questa richiesta diriscatto in genere contiene istruzioni su come pagare
per riottenere l'accesso aipropri file crittografati.
Inoltre, contiene avvertenze su come il mancato pagamento comporterà
la perdita permanente deidati.
La richiesta di riscatto con le istruzioni viene inserita in ogni cartella
contenente un file crittografato.
Alle vittime viene fornito uno specifico indirizzo di portafoglio Bitcoin per
effettuare il pagamento del riscatto.
Portale MedusaLocker
Alcune richieste di riscatto, a volte, inseriscono anche un link Tor a un
portale di MedusaLocker.
Spesso questi link non sono funzionanti, ma in generale il portale viene
utilizzato come punto di raccolta delle vittime del ransomware.
Lì è presente una piattaforma perle vittime per entrare in contatto con gli
aggressorie negoziare un pagamento di riscatto.

Il ransomware MedusaLocker ruba dati?
Siccome MedusaLocker appartiene alla macro famiglia dei locker
ransomware,il suo scopo principalenon è quello di rubare i dati.
Questo tipo di ransomware, infatti, blocca i dati degli utenti nel tentativo
di estorcere denaro agliutenti.
La sua caratteristica primaria, quindi, è quella di bloccare i dati, non
rubarli.
Ma con l’aumento della tecnica di ransomware doppia estorsione,anche
questo malware si sta muovendoin quella direzione.
DI fatto, acquisisce anche foto personali, video o file di testo prima di
crittografarlie archiviarlisuipropri serverperestorcere ancora più denaro
alle vittime in seguito.
Quanto costa il recupero dal ransomware
MedusaLocker?
L'importo del riscatto varia molto.
Secondo i report di IBM, nel 2022,il costo medio di un data breach ha
toccato i 4,35 milioni di dollari, un record rispetto agli ultimi anni.

Il costo del ripristino da MedusaLockerransomware dipende daltipo di
attacco,dal numero di sistemiinteressatie dalla gravità del danno.
I dati di Proven Data riportano che la domanda iniziale di riscatto si
aggira intorno ai 12mila dollari.

Considera inoltre che la piattaforma di pagamento online in cui viene
consegnato questo malware può anche imporre una commissione oltre
all'importo del riscatto.
È importante notare che il pagamento del riscatto non garantisce la
restituzione deidati.
Pertanto, si consiglia sempre di investire in soluzioni di sicurezza
affidabili come misura preventivacontro questo tipo di attacco.
Quanto tempo ci vuole per recuperarsi da un attacco del
ransomware MedusaLocker?
Il recupero da un attacco ransomware MedusaLocker può essere un
processo lungo e difficile.
Le fasifondamentalidi questo processosono tre:
● Rimuovere completamente ilsoftware dannoso;
● Ripristinare file criptati;
● Implementare le misure di sicurezza per proteggersi da attacchi
futuri.
A seconda della gravità dell'attacco, potrebbero essere necessari da
giornia settimane o addirittura mesiperriprendersicompletamenteda un
attacco ransomware MedusaLocker.
Qual è la percentuale di successo di recupero dati per il
ransomware MedusaLocker?
Sfortunatamente, può essere difficile recuperare i dati che sono stati
crittografatidal ransomware MedusaLocker.

Ciò dipende dall'algoritmo AES 256 protetto con crittografia RSA-2048,
che rende difficile aprire file criptati senza la chiave corretta.
In generale, per gli altri tipi di ransomware, le percentuali non sono così
tragiche.
Come riportato da Cybereason,il 78% delle aziendeche ha dichiarato di
non aver pagato il riscatto, ha detto di aver ripristinato sistemi e dati
senza ricevere la chiave di decrittazione.
Avere un backup o un punto di ripristino precedente all’infezione del
ransomware, ti permette di tornare in possesso dei tuoi dati in maniera
facile.
Vittime di MedusaLocker
Il ransomware MedusaLocker si sta rivelando molto pericoloso.
Ha colpito migliaia di aziende e organizzazioni,causandoloro perdite per
milioni di dollari in danni.

Secondo la homepage del portale di MedusaLocker, il ransomware ha
colpito più di 80 paesi.
Le aziende colpite da ransomware sisituano soprattutto in 20 Paesi:
● Argentina;
● Canada;
● Cile;
● Colombia;
● Costa Rica;
● Danimarca;
● Ecuador;
● Francia;
● Germania;
● Austria;
● Slovenia;
● Spagna;
● Svizzera;
● UAE;
● Regno Unito;
● USA.
Probabilmentesono molte di più le società colpite da questo attacco,non
presentinell’elenco a causa della mancanza di disponibilità di dati.
L’analisi di Coveware permette di farsi un’idea generale su quali sono i
settori aziendalipiù colpiti dal ransomware nelsecondoquadrimestre
del 2022:

I servizi professionali (21,9%) e il settore pubblico (14,4%) guidano la
classifica,seguitidalsettore sanitario (10%).
Come evitare che l’attacco di MedusaLocker accada
di nuovo?
Il modo migliore per evitare che un attacco MedusaLocker si ripeta è
implementareadeguatemisure di sicurezza.
Ciò include l'utilizzo di:
● Passwordcomplesse;
● Processo pernotificare al team IT le modifichealla rete;
● Autenticazione a due fattori per tutti gli account;
● Aggiornamento regolare di software e sistemi con le patch di
sicurezzapiù recenti;
● Educazione dei dipendentisuipericoli del web.

Inoltre, le organizzazioni dovrebbero anche investire in soluzioni di
backup affidabili in modo da poter recuperare rapidamente da qualsiasi
attacco ransomware.
Come riportato da Delinea,le azioni che più spessosono state prese nel
2022 per prevenire un attacco ransomware sono:
● Aggiornamentidi software e sistemi:53%;
● Backup regolaridei dati sensibili:52%;
● Miglioramentodelle best practice rispetto alle password:51%;
● Autenticazione multi-fattori:50%;
● Implementazionedel controllo perle applicazioni:23%;
● Disabilitazione delle macro dagliallegatimail: 19%;
● Privilegi minimi: 15%.
Adottando queste misure, le aziende possono assicurarsi di essere
protette da attacchifuturie ridurre al minimo il rischio diperdite finanziarie
dovute agli attacchiransomware.

Conclusioni
In questa guida ti abbiamo spiegato tutto quello che c’è da sapere sul
ransomware MedusaLocker, uno dei più pericolosi malware visti di
recente.
Queste sono le conclusioniche puoitrarre dal testo:
● MedusaLocker è un ransomware dannoso che è stato osservato
per la prima volta alla fine di ottobre 2019;
● MedusaLockerappartiene alla famiglia diSTOP DJVUransomware,
che negli ultimi anni è diventata una delle forme più comuni di
malware;
● MedusaLocker ransomware può diffondersi tramite e-mail
dannose,downloade altri siti Web;
● MedusaLocker ransomware utilizza diversi vettori di attacco per
ottenere l'accesso alsistemadidestinazione:il 58% degliintervistati
ha un piano di risposta agli incidentiinformatici;
● Sfortunatamente, non sono disponibili strumenti decrittazione
ransomware gratuitiper MedusaLocker;
● L’80% delle aziende che hannopagato ilriscatto sonostate colpite
una secondavolta e il 40% ha pagato di nuovo;
● Il 78% delle aziende cheha dichiarato dinon averpagato ilriscatto,
ha detto di aver ripristinato sistemie dati senza ricevere la chiave
di decrittazione.
Contatta HelpRansomware per avere una soluzione personalizzata per
decrittare i file crittografatidal ransomware.