Analyse du rançongiciel MedusaLocker

Rétro-ingénierie du rançongiciel MEDUSALOCKER pour mieux comprendre son fonctionnement.

Notre analyse de cette variante MEDUSALOCKER montre qu'elle utilise l'algorithme de chiffrement Chacha20 pour chiffrer les données, ainsi que les clés « TRUMPTRUMPTRUMPTRUMPTRUMPTRUMPTRUMP » tronquée à 32 caractères, puis celle avec « PUTLERPUTLER » qui sera tronquée à 8 caractères.

Nous continuons à pousser nos recherches pour comprendre pourquoi ce gang de rançongiciel a décidé d’utiliser les mots TRUMP et PUTLER (qui selon certaines interprétations fait référence à Vladimir PUTIN comparé à Hitler).  Nous publierons très certainement un autre article à ce sujet.