https://cyberveille.ch/tags/medusalocker3/ Recent content in MedusaLocker3 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 01 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-01-medusalocker3-farattack-analyse-technique-du-ransomware-et-de-ses-nombreuses-variantes/ Mon, 01 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-01-medusalocker3-farattack-analyse-technique-du-ransomware-et-de-ses-nombreuses-variantes/ <p>📰 <strong>Source</strong> : BleepingComputer Forums — publié le 29 mai 2026 (dernière édition le 26 mai 2026 par quietman7)</p> <h2 id="contexte">Contexte</h2> <p>Le forum de support BleepingComputer documente l&rsquo;évolution du groupe <strong>MedusaLocker</strong> vers une nouvelle version de leur ransomware : <strong>MedusaLocker3</strong>, également connu sous le nom <strong>FarAttack</strong>. Cette version est <strong>développée en Rust</strong>, ce qui constitue un changement technique notable par rapport aux versions précédentes.</p> <h2 id="comportement-et-déploiement">Comportement et déploiement</h2> <ul> <li>Les acteurs malveillants déploient <strong>MedusaLocker3/FarAttack</strong> conjointement avec <strong>GlobeImposter 2.0</strong> lors des mêmes attaques.</li> <li>Les deux malwares utilisent les <strong>mêmes extensions de fichiers chiffrés</strong> (<code>.savelock**</code>, <code>.busavelock**</code>, <code>.itlock**</code>), rendant leur distinction difficile.</li> <li>La seule méthode fiable pour différencier les fichiers chiffrés par l&rsquo;un ou l&rsquo;autre est l&rsquo;analyse de la <strong>structure de pied de fichier (footer)</strong>, documentée par le chercheur <strong>Demonslay335 (Michael Gillespie)</strong>.</li> <li>L&rsquo;accès initial documenté dans un cas inclus dans le fil est un <strong>compromis RDP</strong> suivi de l&rsquo;utilisation de <strong>Mimikatz</strong>, de la désinstallation de l&rsquo;antivirus et de Windows Defender via <strong>Defender Control</strong>.</li> </ul> <h2 id="extensions-de-fichiers-chiffrés-liste-non-exhaustive">Extensions de fichiers chiffrés (liste non exhaustive)</h2> <p>MedusaLocker3 utilise un très grand nombre d&rsquo;extensions numériques variables, parmi lesquelles : <code>.farattack</code>, <code>.chipslock</code>, <code>.Chuklock</code>, <code>.filesencrypted</code>, <code>.onelock</code>, <code>.marlock**</code>, <code>.allock**</code>, <code>.itlock**</code>, <code>.olsavelock**</code>, <code>.savelock**</code>, <code>.busavelock**</code>, <code>.meduza**</code>, <code>.readtext**</code>, <code>.encrypted**</code>, <code>.hazard**</code>, <code>.cipher**</code>, <code>.locknet</code>, <code>.crypto**</code>, <code>.zombi**</code>, <code>.bulock**</code>, <code>.doctorhelp</code>, <code>.recovery**</code>, <code>.lock**</code>, <code>.rapid**</code>, <code>.genesis**</code>, <code>.duralock**</code>, <code>.locked**</code>, <code>.destroy**</code>, <code>.attackfiles</code>, <code>.repair</code>, <code>.virus**</code>, <code>.nett</code>, <code>.run**</code>, <code>.pomoch**</code>, <code>.pomochit**</code>, <code>.lockfile**</code>, <code>.attacknew**</code>, <code>.foxtrot**</code>, <code>.foxfort**</code>, <code>.solution247</code>, <code>.247_davidhasselhoff</code>, <code>.spider**</code>, <code>.root**</code>, <code>.infected</code>, <code>.destry**</code>, <code>.darkdev</code>, <code>.gonzofortuna</code>, <code>.wehavesolution**</code>, <code>.allciphered**</code>, <code>.luck_**</code>, <code>.bbuild</code>, <code>.hyena**</code>, <code>.lucky**</code>, <code>.M142HIMARS</code>, <code>.blackheart**</code>, <code>.crypt**</code>, <code>.danger**</code>, <code>.ETHAN</code>, <code>.jackalock</code>, <code>.pedro</code>, <code>.cyberhazard**</code>, <code>.CRFILE**</code>, <code>.rans**</code>, <code>.cryptdata</code>, <code>.datarip</code>, <code>.ololo</code>, <code>.PuId**</code>, <code>.ApRBwPQG</code>, <code>.delocker**</code>, <code>.dataleak**</code>, <code>.cybertron**</code>, <code>.jackpot**</code>, <code>.jacobmccole1967@onionmail_com</code>, <code>.taro</code>, <code>.solutionwehave**</code>, <code>.befirst**</code>, <code>.Stolen**</code>, <code>.246510179</code>, <code>.prey**</code>, <code>.trap**</code>, <code>.BAGAJAI</code>, <code>.BAFAIAI</code>, <code>.ripper**</code>, <code>.KARMA</code>, <code>.happy**</code>, <code>.Venere**</code>, <code>.end**</code>, <code>.chip**</code>, <code>.strike**</code>, <code>.raptum**</code>, <code>.zollo**</code>, <code>.bear**</code>, <code>.BASANAI</code>, <code>.net**</code>, <code>.dominus**</code>, <code>.BARADAI</code>, <code>.BAVACAI</code>, <code>.friends**</code></p>