Hvad er Boost Ransomware?
Boost Ransomware er en variant af den berygtede Dharma ransomware-familie. Når den er aktiveret, krypterer den filer på ofrets system, ændrer filnavne og efterlader to løsesumsedler: en vist i et pop-up-vindue og en anden gemt i en fil med navnet "FILES ENCRYPTED.txt".
Table of Contents
Ændringer af filnavne
Ved kryptering tilføjer Boost Ransomware en unik identifikator, e-mailadressen boston.crypt@tuta.io og ".boost"-udvidelsen til hvert filnavn. For eksempel vil en fil med navnet "picture.png" blive omdøbt til "picture.png.id-9ECFA84E.[boston.crypt@tuta.io].boost."
Løseseddel og krav
Løsesedlerne informerer ofrene om, at deres filer er blevet krypteret på grund af et sikkerhedsproblem med deres computer. Ofre bliver bedt om at sende en e-mail til boston.crypt@tuta.io med deres tildelte ID for at modtage instruktioner om, hvordan man betaler løsesummen, som skal laves i Bitcoin. Omkostningerne ved dekryptering afhænger af, hvor hurtigt offeret kontakter angriberne. Noterne advarer mod at omdøbe krypterede filer eller bruge tredjeparts dekrypteringsværktøjer, da disse handlinger kan føre til permanent datatab eller højere dekrypteringsomkostninger.
Her er eksemplet på Boost Ransomwares løsesumseddel:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail boston.crypt@tuta.io
Write this ID in the title of your message -
In case of no answer in 24 hours write us to theese e-mails:boston.crypt@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Detaljer om Dharma Ransomware-familien
Ransomware fra Dharma-familien krypterer typisk filer, der er gemt lokalt og på netværksshares. Det deaktiverer firewallen og sletter Volume Shadow Copies for at hindre filgendannelse. Dharma ransomware spredes ofte gennem kompromitterede RDP-tjenester (Remote Desktop Protocol) og udnytter svage eller dårligt administrerede legitimationsoplysninger.
Persistensmekanismer
For at sikre vedholdenhed kopierer Dharma-varianter, inklusive Boost Ransomware, sig selv til specifikke systemstier og skaber registreringsposter, der kører malwaren ved systemstart. De indsamler også lokationsdata og kan udelukke foruddefinerede lokationer fra kryptering.
Forstå Ransomware
Ransomware fungerer typisk ved at kryptere filer og kræve en løsesum, ofte i cryptocurrency, for deres dekryptering. Ofre får detaljerede betalingsinstruktioner. At betale løsesummen sikrer dog ikke gendannelsen af de krypterede filer. Derfor er det vigtigt at vedligeholde sikkerhedskopier af vigtige filer på fjernservere eller offline lagerenheder for at minimere risikoen for tab af data og økonomisk skade.
Eksempler på andre ransomware-varianter
Andre ransomware-varianter, der ligner Boost, inkluderer Jron Ransomware , AeR Ransomware og Thx Ransomware , som anvender lignende kryptering og løsepenge-taktik.
Metoder til Ransomware-infektion
Dharma ransomware infiltrerer typisk systemer via sårbare RDP-tjenester, ofte gennem brute force eller ordbogsangreb, der udnytter svage adgangskoder. Andre standardinfektionsmetoder omfatter ondsindede vedhæftede filer eller links, malvertising, piratkopieret software, udnyttelse af OS-sårbarheder og brug af P2P-netværk, tredjepartsdownloadere og kompromitterede websteder.
Præventive målinger
For at undgå ransomware-infektioner:
- Download kun applikationer og filer fra officielle websteder eller appbutikker.
- Undgå at bruge piratkopieret software eller cracking-værktøjer, og udvis forsigtighed med mistænkelige e-mails, annoncer, pop op-vinduer og downloadknapper på ikke-pålidelige websteder.
- Hold software og operativsystemer opdateret, og brug velrenommerede sikkerhedsværktøjer.
Fjernelse af Boost Ransomware
Hvis din computer allerede er inficeret med Boost Ransomware, anbefales det, at du kører en omfattende scanning med et pålideligt Windows-antivirusprogram for at fjerne ransomwaren automatisk.
Vigtigheden af regelmæssige sikkerhedskopiering af filer
I den digitale tidsalder, hvor ransomware-angreb er blevet mere og mere sofistikerede og udbredte, er det helt afgørende at vedligeholde regelmæssige sikkerhedskopier af dine vigtige filer. Ransomware kan infiltrere dit system uden varsel, kryptere filer og gøre dem utilgængelige, medmindre der betales løsesum. Selv betaling af løsesum garanterer dog ikke sikker returnering af dine data. Regelmæssige sikkerhedskopier fungerer som et sikkerhedsnet, der sikrer, at du kan gendanne dine filer uden at overholde cyberkriminelles krav, og dermed undgå potentielle økonomiske tab og forstyrrelser. Ved at opbevare sikkerhedskopier på eksterne eller cloud-lagringsløsninger, der ikke er forbundet til dit hovedsystem, beskytter du dine data mod ransomware og andre former for cybertrusler, og bevarer integriteten og kontinuiteten i dit digitale liv.
