„BaN Ransomware“ užrakina daugumą failų

Analizuojant naujus failų pavyzdžius, buvo aptiktas BaN, su Xorist šeima susijusi išpirkos reikalaujančių programų tipas. BaN skirtas failams užšifruoti ir prie failų pavadinimų prideda „.BaN“ plėtinį. Kartu sugeneruojamas išpirkos laiškas, kurį sudaro klaidos pranešimas ir failas, pavadintas „HOW TO DECRYPT FILES.txt“.

Norėdami iliustruoti BaN užšifruotų failų pervardijimą, pavyzdžiai: „1.jpg“ tampa „1.jpg.BaN“ ir „2.png“ keičiami į „2.png.BaN“. Išpirkos raštelyje aukai sakoma, kad visi jų failai buvo užšifruoti, ir reikalaujama sumokėti 0,03 bitkoino, kad būtų atkurta prieiga. Nurodytas Bitcoin adresas pateikiamas išpirkos mokėjimui. Po apmokėjimo aukai nurodoma susisiekti su užpuoliku banuda@tuta.io arba banuda@skiff.com, nurodant konkrečią temos eilutę.

Pastaba nukentėjusysis užtikrina, kad patvirtinus mokėjimą jie gaus iššifravimo priemonę ir iššifravimo raktus, kad atgautų savo failų kontrolę. Ji primygtinai nerekomenduojama bandyti alternatyvių iššifravimo būdų, pabrėžiant, kad tik aukos serveriui sugeneruoti raktai gali sėkmingai iššifruoti failus.

„BaN Ransom Note“ visas

Visas BaN išpirkos rašto tekstas skamba taip:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

Dėmesio!
Nebandykite kitų pigesnių iššifravimo galimybių, nes niekas ir niekas negali
iššifruoti failus be serveriui sugeneruotų raktų,
prarasite laiką, pinigus ir failus amžinai!

Kaip „Ransomware“, kaip „BaN“, gali užkrėsti jūsų sistemą?

Išpirkos reikalaujančios programos, tokios kaip BaN, gali užkrėsti jūsų sistemą įvairiais būdais, dažnai išnaudodamos pažeidžiamumą arba pasikliaudamos apgaulinga taktika. Toliau pateikiami įprasti būdai, kuriais išpirkos reikalaujančios programos gali įsiskverbti į sistemą:

Sukčiavimo el. laiškai: užpuolikai dažnai naudoja sukčiavimo el. laiškus, kad platintų išpirkos reikalaujančią programinę įrangą. Šiuose el. laiškuose gali būti kenkėjiškų priedų arba nuorodų. Spustelėjus nuorodą arba atsisiunčiant priedą, gali būti pradėtas išpirkos reikalaujančios programos atsisiuntimas.

Kenkėjiškos nuorodos: spustelėjus pažeistas ar kenkėjiškas svetaines, taip pat gali būti užkrėstos išpirkos reikalaujančios programos. Kibernetiniai nusikaltėliai gali įterpti išpirkos reikalaujančias programas į iš pažiūros nekenksmingas nuorodas, atsisiuntimus ar reklamas svetainėse.

Kenkėjiška reklama : kenkėjiška reklama apima kenkėjiško kodo įterpimą į internetinius skelbimus. Spustelėjus tokius skelbimus gali būti atsisiunčiama ir įdiegiama išpirkos reikalaujanti programa.

Programinės įrangos pažeidžiamumų išnaudojimas: Ransomware kūrėjai dažnai išnaudoja operacinių sistemų, programinės įrangos ar programų spragas. Sistemos, kurios nėra nedelsiant atnaujinamos naujausiomis saugos pataisomis, yra jautresnės šioms atakoms.

Atsisiuntimai pagal vairuotoją: kai kurios išpirkos reikalaujančios programos gali būti pristatomos naudojant tiesioginius atsisiuntimus, kai kenkėjiška programa automatiškai atsisiunčiama į vartotojo įrenginį be jo žinios ar sutikimo, dažnai lankantis pažeistose svetainėse.

Užkrėstos programinės įrangos diegimo programos: atsisiunčiant programinę įrangą arba naujinimus iš nepatikimų šaltinių, jūsų sistemoje gali atsirasti išpirkos reikalaujančių programų. Užpuolikai gali užmaskuoti kenkėjiškas programas kaip teisėtą programinę įrangą, kad suklaidintų vartotojus jas įdiegti.

Nuotolinio darbalaukio protokolo (RDP) atakos: jei nuotolinis darbalaukis yra netinkamai sukonfigūruotas ir pasiekiamas internete, užpuolikai gali naudoti brutalios jėgos atakas arba išnaudoti silpnus slaptažodžius, kad gautų neteisėtą prieigą ir įdiegtų išpirkos reikalaujančias programas.