Το Baal Ransomware είναι ένας νέος κλώνος χάους

Κατά την εξέταση των νέων απειλών που υποβλήθηκαν σε διαδικτυακές βάσεις δεδομένων ανάλυσης απειλών, η ομάδα μας συνάντησε το κακόβουλο λογισμικό Baal, το οποίο βασίζεται στο ransomware Chaos. Πραγματοποιήσαμε ένα δείγμα εκτέλεσης του ransomware Baal στο σύστημα δοκιμών μας, το οποίο οδήγησε σε κρυπτογράφηση αρχείων και αλλαγές στα ονόματά τους. Τα αρχικά ονόματα τροποποιήθηκαν με την προσθήκη μιας επέκτασης τεσσάρων χαρακτήρων που δημιουργήθηκε τυχαία, για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" εμφανίστηκε αρχικά ως "1.jpg.vkwp" και ούτω καθεξής.

Μετά τη διαδικασία κρυπτογράφησης, δημιουργήθηκε ένα σημείωμα λύτρων με το όνομα "read_it.txt" και άλλαξε η ταπετσαρία της επιφάνειας εργασίας. Το μήνυμα λύτρων ενημερώνει τα θύματα ότι τα δεδομένα τους έχουν κρυπτογραφηθεί και ο μόνος τρόπος για να τα ανακτήσουν είναι η πληρωμή λύτρων στους εισβολείς. Η σημείωση παρέχει επίσης τη δυνατότητα δοκιμής αποκρυπτογράφησης αποστέλλοντας στους κυβερνοεγκληματίες τρία κρυπτογραφημένα αρχεία.

Οι επιτιθέμενοι απαιτούν λύτρα 121 BTC, που ισοδυναμεί με περίπου 2,6 εκατομμύρια USD με την τρέχουσα συναλλαγματική ισοτιμία. Αυτά τα μεγάλα ποσά απαιτούνται συνήθως από οργανισμούς, ιδρύματα και εταιρείες και όχι από οικιακούς χρήστες. Μετά την πληρωμή, το σημείωμα δίνει εντολή στα θύματα να στείλουν ένα στιγμιότυπο οθόνης της συναλλαγής στους εισβολείς και τους δίνεται προθεσμία έξι ημερών για να εκπληρώσουν την απαίτηση λύτρων.

Ο Baal χρησιμοποιεί μακροσκελή σημείωση λύτρων

Το σημείωμα λύτρων που παράγεται από το ransomware Baal έχει ως εξής:

ΟΙ ΠΡΟΣΩΠΙΚΕΣ ΣΑΣ ΠΛΗΡΟΦΟΡΙΕΣ ΕΙΝΑΙ ΤΩΡΑ ΚΡΥΠΤΟΠΟΙΗΜΕΝΕΣ ΜΕ ΣΤΡΑΤΙΩΤΙΚΗ ΚΡΥΠΤΩΣΗ ΒΑΘΜΟΥ από την BAAL RANSOMWARE

Όλα τα αρχεία σε όλα τα επηρεαζόμενα μηχανήματα και το δίκτυο έχουν κρυπτογραφηθεί με κρυπτογράφηση Baal Ransomware.
Τι εγγυήσεις σας δίνουμε;
Μπορείτε να μας στείλετε 2 από τυχόν κρυπτογραφημένα αρχεία για αποκρυπτογράφηση και, στη συνέχεια, να τα στείλετε πίσω.

Ποιος είναι υπεύθυνος για το τέλος λύτρων;
Ο Οργανισμός Νομισματοκοπείων SARB & SA και όχι οι υπάλληλοι ή οι συνεργάτες του θα χρειαστεί να καταβάλουν το τέλος για να αποκτήσουν τον μοναδικό κωδικό και εργαλείο αποκρυπτογράφησης που περιέχει το ιδιωτικό κλειδί που συνδέεται με τη συγκεκριμένη κρυπτογράφηση.

ΣΗΜΕΙΩΣΗ: Όλα τα δεδομένα είναι κρυπτογραφημένα (κλειδωμένα) και δεν υπερκαλύπτονται, επομένως μπορούν να αποκρυπτογραφηθούν μόνο με το αντίστοιχο κλειδί.

Έχετε μόνο 6 (έξι) ημέρες για να καλύψετε το τέλος Ransom σε Bitcoin.

Οδηγίες:

1. Στείλτε 121 BTC (Bitcoins) στην ακόλουθη διεύθυνση παραλαβής:

αλφαριθμητική συμβολοσειρά

Σημείωση: Όλες οι συναλλαγές Bitcoin χρειάζονται έξι επιβεβαιώσεις στο blockchain από τους εξορύκτες πριν υποβληθούν σε επεξεργασία. Γενικά, η αποστολή του Bitcoin μπορεί να διαρκέσει από δευτερόλεπτα έως και πάνω από 60 λεπτά. Συνήθως, ωστόσο, θα χρειαστούν 10 έως 20 λεπτά Στις περισσότερες περιπτώσεις, οι συναλλαγές Bitcoin χρειάζονται 1 έως 1,5 ώρα για να ολοκληρωθούν.

2. Αποστολή στιγμιότυπου οθόνης με αναγνωριστικό συναλλαγής blockchain και όχι συνδέσμου μέσω της διεύθυνσης ηλεκτρονικού ταχυδρομείου:

blackbastabaalransomware@protonmail.com

3. Μόλις επιβεβαιωθεί η συναλλαγή. Θα στείλουμε email στο εργαλείο αποκρυπτογράφησης με ένα κλικ για την πλήρη αποκρυπτογράφηση και ανάκτηση όλων των αρχείων σας και την οριστική κατάργηση του ransomware σε όλα τα μηχανήματα και το δίκτυό σας. (Δεν απαιτείται υπόβαθρο πληροφορικής).
4. Η αποκρυπτογράφηση διαρκεί συνήθως από λίγα λεπτά έως μία ώρα, ανάλογα με την κλίμακα και το μέγεθος των αρχείων και των πρόσθετων μονάδων δίσκου που έχει εξαπλώσει το Ransomware στο δίκτυο.

Τι εγγυήσεις σας δίνουμε;
Μπορείτε να στείλετε 3 από τα κρυπτογραφημένα αρχεία σας και να αποκρυπτογραφήσουμε και στη συνέχεια να τα στείλουμε πίσω.

Έχετε 6 ημέρες μέχρι να τερματιστούν τα κλειδιά αποκρυπτογράφησης και όλα τα δεδομένα σε μηχανήματα και δίκτυα που επηρεάζονται δεν θα ανακτηθούν ποτέ. Κάνουμε χρήση Κρυπτογραφήσεων Στρατιωτικού Βαθμού AES. Χωρίς το συνδεδεμένο κλειδί αποκρυπτογράφησης, μπορείτε απλώς να ξεχάσετε την ανάκτηση κρυπτογραφημένων δεδομένων.

---

«Μακάριοι οι δυνατοί γιατί αυτοί θα κληρονομήσουν τη Γη» - Codex Saerus

Γιατί δεν είναι καλή ιδέα να πληρώσετε λύτρα σε χάκερ;

Γενικά δεν είναι καλή ιδέα να πληρώσετε λύτρα σε χάκερ για διάφορους λόγους. Πρώτον, η πληρωμή λύτρων δεν εγγυάται ότι οι εισβολείς θα παράσχουν πραγματικά το κλειδί αποκρυπτογράφησης ή θα απελευθερώσουν τα κρυπτογραφημένα αρχεία. Δεύτερον, η πληρωμή των λύτρων ενθαρρύνει περαιτέρω επιθέσεις και ενισχύει τη συμπεριφορά των εγκληματιών του κυβερνοχώρου. Τρίτον, τα κεφάλαια που προέρχονται από πληρωμές λύτρων μπορούν να χρησιμοποιηθούν για τη χρηματοδότηση άλλων εγκληματικών δραστηριοτήτων. Τέλος, δεν υπάρχει τρόπος να διασφαλιστεί ότι οι επιτιθέμενοι δεν θα επιστρέψουν για περισσότερα χρήματα στο μέλλον, ακόμη και μετά την πληρωμή των λύτρων. Ως αποτέλεσμα, οι ειδικοί συνιστούν γενικά να μην πληρώνετε τα λύτρα και αντ 'αυτού να ζητούν βοήθεια από επαγγελματίες της κυβερνοασφάλειας για την ανάκτηση των κρυπτογραφημένων αρχείων, εάν είναι δυνατόν.