BaN Ransomware blocca la maggior parte dei file

Durante l'analisi di nuovi campioni di file è stato rilevato BaN, un tipo di ransomware associato alla famiglia Xorist. BaN è progettato per crittografare i file e aggiungere l'estensione ".BaN" ai nomi dei file. Oltre a ciò, genera una richiesta di riscatto, composta da un messaggio di errore e un file denominato "HOW TO DECRYPT FILES.txt."

Per illustrare la ridenominazione dei file crittografati da BaN, gli esempi includono "1.jpg" che diventa "1.jpg.BaN" e "2.png" che diventa "2.png.BaN". La richiesta di riscatto comunica alla vittima che tutti i suoi file sono stati crittografati e richiede un pagamento di 0,03 bitcoin per ripristinare l'accesso. L'indirizzo Bitcoin specificato viene fornito per il pagamento del riscatto. Dopo il pagamento, alla vittima viene richiesto di contattare l'aggressore tramite banuda@tuta.io o banuda@skiff.com con un oggetto specifico.

La nota assicura alla vittima che alla conferma del pagamento riceverà un decrittatore e chiavi di decrittazione per riprendere il controllo dei propri file. Sconsiglia vivamente di tentare metodi di decrittazione alternativi, sottolineando che solo le chiavi generate per il server della vittima possono decrittografare con successo i file.

Nota di riscatto BaN per intero

Il testo completo della richiesta di riscatto BaN recita quanto segue:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

Attenzione!
Non provare altre opzioni di decrittazione più economiche perché nessuno e niente può farlo
decriptare i tuoi file senza le chiavi generate per il tuo server,
perderai tempo, denaro e i tuoi file per sempre!

In che modo i ransomware come BaN possono infettare il tuo sistema?

I ransomware come BaN possono infettare il tuo sistema attraverso vari metodi, spesso sfruttando le vulnerabilità o facendo affidamento su tattiche ingannevoli. Ecco alcuni modi comuni in cui il ransomware può infiltrarsi in un sistema:

E-mail di phishing: gli aggressori utilizzano spesso e-mail di phishing per distribuire ransomware. Queste e-mail possono contenere allegati o collegamenti dannosi. Facendo clic sul collegamento o scaricando l'allegato è possibile avviare il download del ransomware.

Collegamenti dannosi: anche fare clic su siti Web compromessi o dannosi può portare a infezioni ransomware. I criminali informatici possono incorporare ransomware in collegamenti, download o annunci pubblicitari apparentemente innocui sui siti Web.

Malvertising: la pubblicità dannosa, o malvertising, comporta l'inserimento di codice dannoso negli annunci online. Facendo clic su tali annunci è possibile attivare il download e l'installazione del ransomware.

Sfruttare le vulnerabilità del software: gli autori di ransomware sfruttano spesso le vulnerabilità di sistemi operativi, software o applicazioni. I sistemi che non vengono tempestivamente aggiornati con le ultime patch di sicurezza sono più suscettibili a questi attacchi.

Download drive-by: alcuni ransomware possono essere distribuiti tramite download drive-by, in cui il malware viene automaticamente scaricato sul dispositivo dell'utente a sua insaputa o senza il suo consenso, spesso quando visita siti Web compromessi.

Installatori di software infetti: il download di software o aggiornamenti da fonti non affidabili può introdurre ransomware nel sistema. Gli aggressori possono mascherare il malware come software legittimo per indurre gli utenti a installarlo.

Attacchi RDP (Remote Desktop Protocol): se Desktop remoto è configurato in modo improprio ed esposto a Internet, gli aggressori possono utilizzare attacchi di forza bruta o sfruttare password deboli per ottenere accesso non autorizzato e distribuire ransomware.