A BaN Ransomware a legtöbb fájlt zárolja

Az új fájlminták elemzése során a BaN-t, a Xorist családhoz kapcsolódó ransomware típust észlelték. A BaN a fájlok titkosítására szolgál, és a ".BaN" kiterjesztést fűzi a fájlnevekhez. Ezzel párhuzamosan váltságdíj-jegyzetet generál, amely egy hibaüzenetből és egy "HOGYAN MEGOLDÁS FÁJLOK.txt" nevű fájlból áll.

A BaN által titkosított fájlok átnevezésének szemléltetésére példák közé tartozik az „1.jpg” „1.jpg.BaN” és a „2.png” „2.png.BaN” névre váltása. A váltságdíj-jegyzet közli az áldozattal, hogy minden fájlját titkosították, és 0,03 bitcoint követel a hozzáférés visszaállításáért. A megadott Bitcoin-címet a váltságdíj kifizetéséhez adjuk meg. A fizetést követően az áldozatot arra utasítják, hogy vegye fel a kapcsolatot a támadóval a banuda@tuta.io vagy a banuda@skiff.com címen, és adja meg a tárgysort.

A feljegyzés biztosítja az áldozatot, hogy a fizetés megerősítése után visszafejtőt és visszafejtő kulcsokat kap, hogy visszaszerezze az irányítást fájljai felett. Nyomatékosan javasolja, hogy ne próbálkozzon más visszafejtési módszerekkel, hangsúlyozva, hogy csak az áldozat szervere számára generált kulcsok képesek sikeresen visszafejteni a fájlokat.

BaN Ransom Note teljes egészében

A BaN váltságdíj teljes szövege a következő:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

Figyelem!
Ne próbálkozzon más olcsóbb visszafejtési lehetőséggel, mert senki és semmi nem tudja
dekódolja fájljait a szerverhez generált kulcsok nélkül,
időt, pénzt és fájljait örökre elveszíti!

Hogyan fertőzheti meg rendszerét a Ransomware, mint a BaN?

Az olyan zsarolóvírusok, mint a BaN, különféle módszerekkel megfertőzhetik a rendszert, gyakran kihasználva a sebezhetőségeket vagy megtévesztő taktikára támaszkodva. Íme a zsarolóvírusok rendszerbe való behatolásának gyakori módjai:

Adathalász e-mailek: A támadók gyakran használnak adathalász e-maileket zsarolóvírusok terjesztésére. Ezek az e-mailek rosszindulatú mellékleteket vagy hivatkozásokat tartalmazhatnak. A hivatkozásra kattintva vagy a melléklet letöltésével elindítható a zsarolóvírus letöltése.

Rosszindulatú linkek: A feltört vagy rosszindulatú webhelyekre való kattintás zsarolóprogram-fertőzéshez is vezethet. A kiberbűnözők zsarolóprogramokat ágyazhatnak be a látszólag ártalmatlan linkekbe, letöltésekbe vagy webhelyek hirdetéseibe.

Rosszindulatú reklámozás: A rosszindulatú reklámozás magában foglalja a rosszindulatú kód beillesztését az online hirdetésekbe. Az ilyen hirdetésekre való kattintás elindíthatja a ransomware letöltését és telepítését.

Szoftver sebezhetőségeinek kihasználása: A Ransomware készítői gyakran használják ki az operációs rendszerek, szoftverek vagy alkalmazások sebezhetőségeit. Azok a rendszerek, amelyek nem frissülnek azonnal a legújabb biztonsági javításokkal, érzékenyebbek ezekre a támadásokra.

Drive-by-letöltések: Egyes zsarolóprogramok indítási letöltéssel is elérhetők, ahol a rosszindulatú programok automatikusan letöltésre kerülnek a felhasználó tudta vagy beleegyezése nélkül, gyakran feltört webhelyek meglátogatásakor.

Fertőzött szoftvertelepítők: A nem megbízható forrásokból származó szoftverek vagy frissítések letöltése zsarolóvírusokat juttathat a rendszerbe. A támadók a rosszindulatú programokat legitim szoftvernek álcázhatják, hogy rávegyék a felhasználókat annak telepítésére.

Távoli asztali protokoll (RDP) támadások: Ha a Remote Desktop helytelenül van konfigurálva, és ki van téve az internetnek, a támadók brute force támadásokat alkalmazhatnak, vagy gyenge jelszavakat használhatnak ki jogosulatlan hozzáféréshez és zsarolóprogramok telepítéséhez.