Un nuovo ransomware chiamato MedusaLocker sta infettando parecchi computer, danneggiando dati da tutto il mondo. Al momento non è noto come l’attaccante stia distribuendo il ransomware. Questo nuovo ransomware è stato trovato da MalwareHunterTeam alla fine di settembre 2019 e, sebbene al momento non sia noto come venga distribuito il ransomware la sua diffusione ancora oggi è in atto.

Il ransomware prima di tutto inizia a chiudere i programmi di sicurezza per assicurarsi che tutti i file di dati siano chiusi e accessibili per la crittografia, riavvia il servizio LanmanWorkstation per assicurarsi che la rete Windows sia in esecuzione e che le unità di rete mappate siano accessibili criptando anche il loro contenuto, inoltra, cancella le copie del volume shadow di windows in modo che non possano essere utilizzate per ripristinare i file, rimuove i backup eseguiti con il backup di Windows e disabilita la riparazione automatica all’avvio di Windows.

Il ransomware inizierà ora la scansione delle unità del computer alla ricerca di file da crittografare. Durante la crittografia dei file, salterà tutti i file con estensione .exe, .dll, .sys, .ini, .lnk, .rdp, .encrypted (o altra estensione utilizzata per i file crittografati), nonché i file nelle seguenti cartelle .

USERPROFILE
PROGRAMFILES(x86)
ProgramData
\AppData
WINDIR
\Application Data
\Program Files
\Users\All Users
\Windows
\intel
\nvidia

Durante la crittografia dei file, utilizzerà la crittografia AES per crittografare il file e quindi la chiave AES verrà crittografata da una chiave pubblica RSA-2048 inclusa nell’eseguibile ransomware, aggiungendo la seguente estensione ai file:

.encrypted, .bomber, .boroff, .breakingbad, 

.locker16, .newlock, .nlocker, .skynet