Το BuSaveLock Ransomware θα κρυπτογραφήσει τα αρχεία σας

Η ερευνητική μας ομάδα ανακάλυψε πρόσφατα μια παραλλαγή ransomware που ονομάζεται BuSaveLock, η οποία ανήκει στην οικογένεια MedusaLocker. Ο πρωταρχικός του στόχος είναι να κρυπτογραφεί αρχεία και να απαιτεί πληρωμή με αντάλλαγμα την αποκρυπτογράφηση τους. Επιπλέον, το BuSaveLock ενσωματώνει μια σημείωση λύτρων ("How_to_back_files.html") και τροποποιεί τα ονόματα αρχείων.

Για να μετονομάσετε αρχεία, το BuSaveLock προσθέτει έναν συγκεκριμένο αριθμό μαζί με την επέκταση ".busavelock" στα αρχικά ονόματα αρχείων. Ο αριθμός εντός της επέκτασης ποικίλλει ανάλογα με τη συγκεκριμένη παραλλαγή του BuSaveLock. Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.jpg" θα άλλαζε σε "1.jpg.busavelock53", ενώ το "2.png" θα γίνει "2.png.busavelock53" και ούτω καθεξής.

Το συνοδευτικό σημείωμα λύτρων ενημερώνει το θύμα ότι όλα τα κρίσιμα αρχεία έχουν κρυπτογραφηθεί χρησιμοποιώντας μεθόδους κρυπτογράφησης RSA και AES. Συμβουλεύει ανεπιφύλακτα να μην επιχειρήσετε να επαναφέρετε τα αρχεία χρησιμοποιώντας λογισμικό τρίτων, καθώς ισχυρίζεται ότι τέτοιες προσπάθειες θα καταστρέψουν μόνιμα τα αρχεία. Επιπλέον, η σημείωση καθοδηγεί τα θύματα να μην τροποποιήσουν ή μετονομάσουν τα κρυπτογραφημένα αρχεία.

Το σημείωμα λύτρων υποστηρίζει ευθαρσώς ότι κανένα λογισμικό που διατίθεται στο Διαδίκτυο δεν μπορεί να βοηθήσει στην επίλυση του προβλήματος, τονίζοντας ότι οι εισβολείς διαθέτουν την αποκλειστική δυνατότητα αποκρυπτογράφησης των αρχείων. Δηλώνει επίσης ότι οι εισβολείς έχουν αποκτήσει πρόσβαση σε εξαιρετικά ευαίσθητα και προσωπικά δεδομένα, τα οποία αυτή τη στιγμή είναι αποθηκευμένα σε ιδιωτικό διακομιστή. Εάν τα θύματα αρνηθούν να πληρώσουν, οι εισβολείς απειλούν να δημοσιοποιήσουν τα δεδομένα ή να τα πουλήσουν σε άλλα μέρη.

Ως απόδειξη της ικανότητάς τους να επαναφέρουν τα κρυπτογραφημένα αρχεία, το σημείωμα αναφέρει ότι οι κυβερνοεγκληματίες προσφέρουν την αποκρυπτογράφηση 2-3 μη σημαντικά αρχείων χωρίς χρέωση. Το σημείωμα παρέχει στοιχεία επικοινωνίας για επικοινωνία, συμπεριλαμβανομένων δύο διευθύνσεων ηλεκτρονικού ταχυδρομείου: ithelp11@securitymy.name και ithelp11@yousheltered.com.

Το σημείωμα λύτρων ολοκληρώνεται με μια προειδοποίηση ότι η αποτυχία επικοινωνίας με τους εισβολείς εντός 72 ωρών θα οδηγήσει σε αυξημένη τιμή για το λογισμικό αποκρυπτογράφησης.

Το BuSaveLock Ransom Note απειλεί με διαρροή κλεμμένων πληροφοριών

Το πλήρες κείμενο του σημειώματος λύτρων BuSaveLock έχει ως εξής:

Η ΠΡΟΣΩΠΙΚΗ ΣΑΣ ΤΑΥΤΟΤΗΤΑ:

ΤΟ ΕΤΑΙΡΙΚΟ ΔΙΚΤΥΟ ΣΑΣ ΕΧΕΙ ΔΙΕΙΣΧΥΘΕΙ
Όλα τα σημαντικά αρχεία σας έχουν κρυπτογραφηθεί!

Τα αρχεία σας είναι ασφαλή! Μόνο τροποποιημένο. (RSA+AES)

ΟΠΟΙΑΔΗΠΟΤΕ ΠΡΟΣΠΑΘΕΙΑ ΑΠΟΚΑΤΑΣΤΑΣΗΣ ΤΩΝ ΑΡΧΕΙΩΝ ΣΑΣ ΜΕ ΛΟΓΙΣΜΙΚΟ ΤΡΙΤΩΝ
ΘΑ ΤΟ ΔΙΑΦΘΩΣΕΙ ΜΟΝΙΜΩΣ.
ΜΗΝ ΤΡΟΠΟΠΟΙΕΙΤΕ ΚΡΥπτογραφημένα ΑΡΧΕΙΑ.
ΜΗ ΜΕΤΟΝΟΜΑΣΙΑ ΚΡΥΠΤΟΓΡΑΦΗΜΕΝΩΝ ΑΡΧΕΙΩΝ.

Κανένα λογισμικό που διατίθεται στο διαδίκτυο δεν μπορεί να σας βοηθήσει. Είμαστε οι μόνοι που μπορούμε
λύσε το πρόβλημά σου.

Συγκεντρώσαμε άκρως εμπιστευτικά/προσωπικά δεδομένα. Αυτά τα δεδομένα αποθηκεύονται αυτήν τη στιγμή στο
έναν ιδιωτικό διακομιστή. Αυτός ο διακομιστής θα καταστραφεί αμέσως μετά την πληρωμή σας.
Εάν αποφασίσετε να μην πληρώσετε, θα δημοσιοποιήσουμε τα δεδομένα σας ή θα μεταπωλήσουμε.
Έτσι, μπορείτε να περιμένετε τα δεδομένα σας να είναι δημόσια διαθέσιμα στο εγγύς μέλλον..

Επιδιώκουμε μόνο χρήματα και στόχος μας δεν είναι να βλάψουμε τη φήμη σας ή να αποτρέψουμε
η επιχείρησή σας από τη λειτουργία.

Μπορείτε να μας στείλετε 2-3 μη σημαντικά αρχεία και θα τα αποκρυπτογραφήσουμε δωρεάν
για να αποδείξουμε ότι είμαστε σε θέση να δώσουμε πίσω τα αρχεία σας.

Επικοινωνήστε μαζί μας για τιμή και λάβετε λογισμικό αποκρυπτογράφησης.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ:
ithelp11@securitymy.name
ithelp11@yousheltered.com

• Για να επικοινωνήσετε μαζί μας, δημιουργήστε έναν νέο δωρεάν λογαριασμό email στον ιστότοπο: protonmail.com
  ΕΑΝ ΔΕΝ ΕΠΙΚΟΙΝΩΝΗΣΕΤΕ ΜΑΖΙ ΜΑΣ ΕΝΤΟΣ 72 ΩΡΩΝ, Η ΤΙΜΗ ΘΑ ΕΙΝΑΙ ΥΨΗΛΗ.

Πώς μπορεί το Ransomware όπως το BuSaveLock να διεισδύσει στο σύστημά σας;

Ransomware όπως το BuSaveLock μπορεί να διεισδύσει στο σύστημά σας μέσω διαφόρων μεθόδων, όπως:

Συνημμένα email: Μια κοινή μέθοδος είναι μέσω κακόβουλων συνημμένων email. Οι χάκερ συγκαλύπτουν το ransomware ως αρχεία με αθώα εμφάνιση, όπως έγγραφα ή PDF, και τα στέλνουν ως συνημμένα email. Εάν ανοίξετε και κατεβάσετε εν αγνοία σας το συνημμένο, το ransomware εκτελείται στο σύστημά σας.

Κακόβουλοι σύνδεσμοι: Το Ransomware μπορεί επίσης να διανεμηθεί μέσω ηλεκτρονικού ταχυδρομείου ή μηνυμάτων ηλεκτρονικού ψαρέματος που περιέχουν συνδέσμους προς μολυσμένους ιστότοπους. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να οδηγήσει στη λήψη και την εκτέλεση του ransomware στο σύστημά σας.

Κιτ εκμετάλλευσης: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να εκμεταλλευτούν ευπάθειες σε απαρχαιωμένο λογισμικό ή λειτουργικά συστήματα. Χρησιμοποιώντας κιτ εκμετάλλευσης, μπορούν να παραδώσουν αυτόματα ransomware στο σύστημά σας όταν επισκέπτεστε παραβιασμένους ιστότοπους ή κάνετε κλικ σε κακόβουλες διαφημίσεις.

Κακόβουλες λήψεις: Το Ransomware μπορεί να κρυφτεί μέσα σε φαινομενικά αβλαβείς λήψεις από μη αξιόπιστους ή παραβιασμένους ιστότοπους. Αυτό μπορεί να περιλαμβάνει ρωγμές λογισμικού, γεννήτριες κλειδιών ή πειρατικό περιεχόμενο, όπου το ωφέλιμο φορτίο ransomware συνδυάζεται με την προβλεπόμενη λήψη.

Ευπάθειες του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Εάν το σύστημά σας έχει ενεργοποιημένο το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας και είναι προσβάσιμο μέσω του Διαδικτύου με αδύναμα ή παραβιασμένα διαπιστευτήρια, οι εισβολείς μπορούν να εκμεταλλευτούν αυτά τα τρωτά σημεία για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και να εγκαταστήσουν ransomware.

Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις, γνωστές και ως κακόβουλες διαφημίσεις, μπορούν να εμφανίζονται σε νόμιμους ιστότοπους. Αυτές οι διαφημίσεις ενδέχεται να περιέχουν κακόβουλο κώδικα που μπορεί να ενεργοποιήσει τη λήψη και την εγκατάσταση ransomware όταν κάνετε κλικ.

Λήψεις Drive-by: Το Ransomware μπορεί επίσης να διανεμηθεί μέσω λήψεων Drive-by, οι οποίες προκύπτουν όταν επισκέπτεστε έναν παραβιασμένο ιστότοπο που κατεβάζει και εκτελεί αυτόματα το ransomware χωρίς τη γνώση ή την αλληλεπίδρασή σας.