BaN Ransomware sperrt die meisten Dateien

BaN, eine Art Ransomware der Xorist-Familie, wurde bei der Analyse neuer Dateiproben entdeckt. BaN dient zum Verschlüsseln von Dateien und fügt den Dateinamen die Erweiterung „.BaN“ hinzu. Daneben wird ein Lösegeldschein generiert, der aus einer Fehlermeldung und einer Datei mit dem Namen „HOW TO DECRYPT FILES.txt“ besteht.

Um die Umbenennung von mit BaN verschlüsselten Dateien zu veranschaulichen, werden beispielsweise aus „1.jpg“ „1.jpg.BaN“ und aus „2.png“ „2.png.BaN“ geändert. In der Lösegeldforderung wird dem Opfer mitgeteilt, dass alle seine Dateien verschlüsselt wurden, und es wird eine Zahlung von 0,03 Bitcoins verlangt, um den Zugriff wiederherzustellen. Für die Lösegeldzahlung wird die angegebene Bitcoin-Adresse angegeben. Nach der Zahlung wird das Opfer angewiesen, den Angreifer über banuda@tuta.io oder banuda@skiff.com mit einer bestimmten Betreffzeile zu kontaktieren.

Die Notiz versichert dem Opfer, dass es nach Bestätigung der Zahlung einen Entschlüsseler und Entschlüsselungsschlüssel erhält, um die Kontrolle über seine Dateien zurückzugewinnen. Es wird dringend davon abgeraten, alternative Entschlüsselungsmethoden auszuprobieren, und betont, dass nur die für den Server des Opfers generierten Schlüssel die Dateien erfolgreich entschlüsseln können.

BaN-Lösegeldschein in voller Länge

Der vollständige Text der BaN-Lösegeldforderung lautet wie folgt:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

Aufmerksamkeit!
Probieren Sie keine anderen günstigeren Entschlüsselungsoptionen aus, denn das kann niemand und nichts
entschlüsseln Sie Ihre Dateien ohne die für Ihren Server generierten Schlüssel,
Sie werden für immer Zeit, Geld und Ihre Dateien verlieren!

Wie kann Ransomware wie BaN Ihr System infizieren?

Ransomware wie BaN kann Ihr System auf verschiedene Weise infizieren, wobei sie häufig Schwachstellen ausnutzt oder sich auf betrügerische Taktiken verlässt. Hier sind gängige Methoden, mit denen Ransomware in ein System eindringen kann:

Phishing-E-Mails: Angreifer nutzen Phishing-E-Mails häufig, um Ransomware zu verbreiten. Diese E-Mails können schädliche Anhänge oder Links enthalten. Durch Klicken auf den Link oder Herunterladen des Anhangs kann der Ransomware-Download gestartet werden.

Schädliche Links: Auch das Klicken auf kompromittierte oder bösartige Websites kann zu Ransomware-Infektionen führen. Cyberkriminelle können Ransomware in scheinbar harmlose Links, Downloads oder Werbung auf Websites einbetten.

Malvertising: Bei böswilliger Werbung oder Malvertising wird bösartiger Code in Online-Anzeigen eingeschleust. Das Klicken auf solche Anzeigen kann den Download und die Installation von Ransomware auslösen.

Ausnutzung von Software-Schwachstellen: Ransomware-Ersteller nutzen häufig Schwachstellen in Betriebssystemen, Software oder Anwendungen aus. Systeme, die nicht zeitnah mit den neuesten Sicherheitspatches aktualisiert werden, sind anfälliger für diese Angriffe.

Drive-by-Downloads: Manche Ransomware kann über Drive-by-Downloads übertragen werden, bei denen Malware ohne deren Wissen oder Zustimmung automatisch auf das Gerät eines Benutzers heruntergeladen wird, häufig beim Besuch kompromittierter Websites.

Infizierte Software-Installationsprogramme: Das Herunterladen von Software oder Updates von nicht vertrauenswürdigen Quellen kann Ransomware in Ihr System einschleusen. Angreifer können Malware als legitime Software tarnen, um Benutzer zur Installation zu verleiten.

RDP-Angriffe (Remote Desktop Protocol): Wenn Remote Desktop falsch konfiguriert und dem Internet ausgesetzt ist, können Angreifer Brute-Force-Angriffe verwenden oder schwache Passwörter ausnutzen, um sich unbefugten Zugriff zu verschaffen und Ransomware einzusetzen.