Kas yra „Boost Ransomware“?
Boost Ransomware yra liūdnai pagarsėjusios Dharma ransomware šeimos variantas. Suaktyvintas jis užšifruoja aukos sistemoje esančius failus, pakeičia failų pavadinimus ir palieka du išpirkos užrašus: vienas rodomas iššokančiame lange, o kitas išsaugomas faile pavadinimu „FILES ENCRYPTED.txt“.
Table of Contents
Failų pavadinimų pakeitimai
Šifruodama „Boost Ransomware“ prie kiekvieno failo pavadinimo prideda unikalų identifikatorių, el. pašto adresą boston.crypt@tuta.io ir plėtinį „.boost“. Pavyzdžiui, failas, pavadintas iš pradžių „picture.png“, būtų pervardytas į „picture.png.id-9ECFA84E.[boston.crypt@tuta.io].boost“.
Išpirkos pastabos ir reikalavimai
Išpirkos raštuose aukoms pranešama, kad jų failai buvo užšifruoti dėl kompiuterio saugumo problemos. Aukos nurodomos el. paštu siųsti boston.crypt@tuta.io su jiems priskirtu ID, kad gautų instrukcijas, kaip sumokėti išpirką, kuri turi būti atlikta Bitcoin. Iššifravimo kaina priklauso nuo to, kaip greitai auka susisiekia su užpuolikais. Pastabos įspėja nepervardyti šifruotų failų arba naudoti trečiųjų šalių iššifravimo įrankius, nes šie veiksmai gali sukelti nuolatinį duomenų praradimą arba didesnes iššifravimo išlaidas.
Štai Boost Ransomware išpirkos užrašo pavyzdys:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail boston.crypt@tuta.io
Write this ID in the title of your message -
In case of no answer in 24 hours write us to theese e-mails:boston.crypt@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Išsami informacija apie „Dharma Ransomware“ šeimą
„Ransomware“ iš Dharma šeimos paprastai užšifruoja failus, saugomus vietoje ir tinklo dalyse. Ji išjungia užkardą ir ištrina šešėlines kopijas, kad trukdytų atkurti failus. Dharma ransomware dažnai plinta per pažeistas nuotolinio darbalaukio protokolo (RDP) paslaugas, išnaudodama silpnus arba prastai valdomus kredencialus.
Patvarumo mechanizmai
Siekiant užtikrinti patvarumą, Dharma variantai, įskaitant Boost Ransomware, nukopijuoja save į konkrečius sistemos kelius ir sukuria registro įrašus, kuriuose paleidžiama kenkėjiška programa paleidus sistemą. Jie taip pat renka vietos duomenis ir gali pašalinti iš anksto nustatytas vietas iš šifravimo.
„Ransomware“ supratimas
Išpirkos reikalaujančios programos paprastai veikia šifruodamos failus ir reikalaudamos išpirkos, dažnai kriptovaliuta, už jų iššifravimą. Aukoms pateikiamos išsamios mokėjimo instrukcijos. Tačiau išpirkos sumokėjimas neužtikrina užšifruotų failų atkūrimo. Todėl labai svarbu išsaugoti svarbių failų atsargines kopijas nuotoliniuose serveriuose arba neprisijungus pasiekiamuose saugojimo įrenginiuose, kad būtų sumažinta duomenų praradimo ir finansinės žalos rizika.
Kitų Ransomware variantų pavyzdžiai
Kiti ransomware variantai, panašūs į Boost, yra Jron Ransomware , AeR Ransomware ir Thx Ransomware , kuriuose naudojama panaši šifravimo ir išpirkos taktika.
Ransomware infekcijos metodai
Dharma ransomware paprastai įsiskverbia į sistemas per pažeidžiamas KPP paslaugas, dažnai per brutalią jėgą arba žodyno atakas, kurios išnaudoja silpnus slaptažodžius. Kiti standartiniai užkrėtimo būdai apima kenkėjiškus el. pašto priedus ar nuorodas, kenkėjišką reklamą, piratinę programinę įrangą, OS pažeidžiamumų išnaudojimą ir P2P tinklų naudojimą, trečiųjų šalių atsisiuntimo programas ir pažeistas svetaines.
Prevencinės priemonės
Norėdami išvengti ransomware infekcijų:
- Atsisiųskite programas ir failus tik iš oficialių svetainių arba programų parduotuvių.
- Venkite naudoti piratinę programinę įrangą ar nulaužimo įrankius ir būkite atsargūs naudodami įtartinus el. laiškus, skelbimus, iššokančiuosius langus ir atsisiuntimo mygtukus nepatikimose svetainėse.
- Atnaujinkite programinę įrangą ir operacines sistemas ir naudokite patikimus saugos įrankius.
Boost Ransomware pašalinimas
Jei jūsų kompiuteris jau yra užkrėstas Boost Ransomware, rekomenduojama atlikti išsamų nuskaitymą naudojant patikimą Windows antivirusinę programą, kad automatiškai pašalintumėte išpirkos reikalaujančią programinę įrangą.
Įprastų failų atsarginių kopijų kūrimo svarba
Skaitmeniniame amžiuje, kai išpirkos reikalaujančios programinės įrangos atakos tampa vis sudėtingesnės ir vis labiau paplitusios, labai svarbu reguliariai kurti svarbių failų atsargines kopijas. Išpirkos reikalaujančios programos gali įsiskverbti į jūsų sistemą be įspėjimo, užšifruodamos failus ir padarydamos juos neprieinamus, nebent bus sumokėta išpirka. Tačiau net ir išpirkos sumokėjimas negarantuoja saugaus jūsų duomenų grąžinimo. Reguliarios atsarginės kopijos veikia kaip apsaugos tinklas, užtikrinantis, kad galėsite atkurti failus nesilaikydami kibernetinių nusikaltėlių reikalavimų, taip išvengiant galimų finansinių nuostolių ir trikdžių. Laikydami atsargines kopijas išoriniuose arba debesies saugyklose, kurie nėra prijungti prie jūsų pagrindinės sistemos, apsaugote savo duomenis nuo išpirkos reikalaujančių programų ir kitų kibernetinių grėsmių, taip išsaugodami savo skaitmeninio gyvenimo vientisumą ir tęstinumą.
