Το BaN Ransomware κλειδώνει τα περισσότερα αρχεία

Το BaN, ένας τύπος ransomware που σχετίζεται με την οικογένεια Xorist, εντοπίστηκε κατά την ανάλυση νέων δειγμάτων αρχείων. Το BaN έχει σχεδιαστεί για την κρυπτογράφηση αρχείων και προσαρτά την επέκταση ".BaN" στα ονόματα αρχείων. Παράλληλα, δημιουργεί μια σημείωση λύτρων, που αποτελείται από ένα μήνυμα σφάλματος και ένα αρχείο με το όνομα "HOW TO DECRYPT FILES.txt".

Για να επεξηγηθεί η μετονομασία αρχείων που έχουν κρυπτογραφηθεί από το BaN, παραδείγματα περιλαμβάνουν το "1.jpg" που γίνεται "1.jpg.BaN" και το "2.png" αλλάζει σε "2.png.BaN". Το σημείωμα λύτρων λέει στο θύμα ότι όλα τα αρχεία του έχουν κρυπτογραφηθεί και απαιτεί πληρωμή 0,03 bitcoin για να αποκαταστήσει την πρόσβαση. Η καθορισμένη διεύθυνση Bitcoin παρέχεται για την πληρωμή λύτρων. Μετά την πληρωμή, το θύμα λαμβάνει οδηγίες να επικοινωνήσει με τον εισβολέα μέσω banuda@tuta.io ή banuda@skiff.com με συγκεκριμένη γραμμή θέματος.

Το σημείωμα διαβεβαιώνει το θύμα ότι μετά την επιβεβαίωση της πληρωμής, θα λάβει έναν αποκρυπτογραφητή και κλειδιά αποκρυπτογράφησης για να ανακτήσει τον έλεγχο των αρχείων του. Συμβουλεύει ανεπιφύλακτα να μην επιχειρήσετε εναλλακτικές μεθόδους αποκρυπτογράφησης, τονίζοντας ότι μόνο τα κλειδιά που δημιουργούνται για τον διακομιστή του θύματος μπορούν να αποκρυπτογραφήσουν με επιτυχία τα αρχεία.

Σημείωση λύτρων BaN Πλήρης

Το πλήρες κείμενο του σημειώματος λύτρων BaN έχει ως εξής:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

Προσοχή!
Μην δοκιμάσετε άλλες φθηνότερες επιλογές αποκρυπτογράφησης γιατί κανείς και τίποτα δεν μπορεί
αποκρυπτογραφήστε τα αρχεία σας χωρίς τα κλειδιά που δημιουργούνται για τον διακομιστή σας,
θα χάσετε χρόνο, χρήμα και τα αρχεία σας για πάντα!

Πώς μπορεί το Ransomware όπως το BaN να μολύνει το σύστημά σας;

Ransomware όπως το BaN μπορεί να μολύνει το σύστημά σας μέσω διαφόρων μεθόδων, συχνά εκμεταλλευόμενοι τρωτά σημεία ή βασιζόμενοι σε παραπλανητικές τακτικές. Ακολουθούν συνήθεις τρόποι με τους οποίους το ransomware μπορεί να διεισδύσει σε ένα σύστημα:

Email ηλεκτρονικού ψαρέματος: Οι επιτιθέμενοι χρησιμοποιούν συχνά μηνύματα ηλεκτρονικού ψαρέματος για να διανείμουν ransomware. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Κάνοντας κλικ στον σύνδεσμο ή κάνοντας λήψη του συνημμένου μπορεί να ξεκινήσει η λήψη ransomware.

Κακόβουλοι σύνδεσμοι: Το κλικ σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί επίσης να οδηγήσει σε μολύνσεις ransomware. Οι εγκληματίες του κυβερνοχώρου ενδέχεται να ενσωματώσουν ransomware σε φαινομενικά αβλαβείς συνδέσμους, λήψεις ή διαφημίσεις σε ιστότοπους.

Κακόβουλη διαφήμιση: Η κακόβουλη διαφήμιση ή κακόβουλη διαφήμιση περιλαμβάνει την εισαγωγή κακόβουλου κώδικα σε διαδικτυακές διαφημίσεις. Κάνοντας κλικ σε τέτοιες διαφημίσεις μπορεί να ενεργοποιηθεί η λήψη και η εγκατάσταση ransomware.

Εκμετάλλευση ευπαθειών λογισμικού: Οι δημιουργοί ransomware εκμεταλλεύονται συχνά ευπάθειες σε λειτουργικά συστήματα, λογισμικό ή εφαρμογές. Τα συστήματα που δεν ενημερώνονται αμέσως με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας είναι πιο επιρρεπή σε αυτές τις επιθέσεις.

Λήψεις Drive-by: Ορισμένα ransomware μπορούν να παραδοθούν μέσω λήψεων Drive-by, όπου το κακόβουλο λογισμικό γίνεται αυτόματα λήψη στη συσκευή ενός χρήστη χωρίς τη γνώση ή τη συγκατάθεσή του, συχνά όταν επισκέπτονται παραβιασμένους ιστότοπους.

Μολυσμένα προγράμματα εγκατάστασης λογισμικού: Η λήψη λογισμικού ή ενημερώσεων από αναξιόπιστες πηγές μπορεί να εισαγάγει ransomware στο σύστημά σας. Οι εισβολείς ενδέχεται να συγκαλύψουν κακόβουλο λογισμικό ως νόμιμο λογισμικό για να εξαπατήσουν τους χρήστες να το εγκαταστήσουν.

Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Εάν η Απομακρυσμένη επιφάνεια εργασίας δεν έχει ρυθμιστεί σωστά και εκτεθεί στο διαδίκτυο, οι εισβολείς ενδέχεται να χρησιμοποιήσουν επιθέσεις ωμής βίας ή να εκμεταλλευτούν αδύναμους κωδικούς πρόσβασης για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και να αναπτύξουν ransomware.