BaN Ransomware bloquea la mayoría de los archivos

BaN, un tipo de ransomware asociado con la familia Xorist, se detectó durante el análisis de nuevas muestras de archivos. BaN está diseñado para cifrar archivos y agrega la extensión ".BaN" a los nombres de archivos. Además, genera una nota de rescate, que consta de un mensaje de error y un archivo llamado "CÓMO DESCIFRAR ARCHIVOS.txt".

Para ilustrar el cambio de nombre de archivos cifrados por BaN, los ejemplos incluyen "1.jpg" convirtiéndose en "1.jpg.BaN" y "2.png" cambiando a "2.png.BaN". La nota de rescate le dice a la víctima que todos sus archivos han sido cifrados y exige un pago de 0,03 bitcoins para restaurar el acceso. La dirección Bitcoin especificada se proporciona para el pago del rescate. Después del pago, se le indica a la víctima que se comunique con el atacante a través de banuda@tuta.io o banuda@skiff.com con una línea de asunto específica.

La nota asegura a la víctima que tras la confirmación del pago, recibirá un descifrador y claves de descifrado para recuperar el control de sus archivos. Recomienda encarecidamente no intentar métodos de descifrado alternativos, enfatizando que sólo las claves generadas para el servidor de la víctima pueden descifrar los archivos con éxito.

Nota de rescate de BaN completa

El texto completo de la nota de rescate de BaN dice lo siguiente:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

¡Atención!
No pruebes otras opciones de descifrado más baratas porque nada ni nadie puede
descifre sus archivos sin las claves generadas para su servidor,
¡Perderás tiempo, dinero y tus archivos para siempre!

¿Cómo puede un ransomware como BaN infectar su sistema?

El ransomware como BaN puede infectar su sistema a través de varios métodos, a menudo explotando vulnerabilidades o recurriendo a tácticas engañosas. A continuación se detallan formas comunes en las que el ransomware puede infiltrarse en un sistema:

Correos electrónicos de phishing: los atacantes suelen utilizar correos electrónicos de phishing para distribuir ransomware. Estos correos electrónicos pueden contener archivos adjuntos o enlaces maliciosos. Al hacer clic en el enlace o descargar el archivo adjunto se puede iniciar la descarga del ransomware.

Enlaces maliciosos: hacer clic en sitios web comprometidos o maliciosos también puede provocar infecciones de ransomware. Los ciberdelincuentes pueden incorporar ransomware en enlaces, descargas o anuncios aparentemente inofensivos en sitios web.

Publicidad maliciosa: la publicidad maliciosa, o publicidad maliciosa, implica inyectar código malicioso en anuncios en línea. Hacer clic en dichos anuncios puede desencadenar la descarga e instalación de ransomware.

Explotación de vulnerabilidades de software: los creadores de ransomware frecuentemente explotan vulnerabilidades en sistemas operativos, software o aplicaciones. Los sistemas que no se actualizan rápidamente con los últimos parches de seguridad son más susceptibles a estos ataques.

Descargas no autorizadas: algunos ransomware se pueden distribuir mediante descargas no autorizadas, donde el malware se descarga automáticamente en el dispositivo de un usuario sin su conocimiento o consentimiento, a menudo cuando visita sitios web comprometidos.

Instaladores de software infectados: la descarga de software o actualizaciones de fuentes no confiables puede introducir ransomware en su sistema. Los atacantes pueden disfrazar el malware como software legítimo para engañar a los usuarios para que lo instalen.

Ataques del protocolo de escritorio remoto (RDP): si el escritorio remoto está configurado incorrectamente y expuesto a Internet, los atacantes pueden utilizar ataques de fuerza bruta o explotar contraseñas débiles para obtener acceso no autorizado e implementar ransomware.