Hva er Boost Ransomware?
Boost Ransomware er en variant av den beryktede Dharma ransomware-familien. Når den er aktivert, krypterer den filer på offerets system, endrer filnavn og etterlater seg to løsepenger: en vist i et popup-vindu og en annen lagret i en fil kalt "FILES ENCRYPTED.txt".
Table of Contents
Endringer i filnavn
Ved kryptering legger Boost Ransomware til en unik identifikator, e-postadressen boston.crypt@tuta.io og utvidelsen ".boost" til hvert filnavn. For eksempel vil en fil som opprinnelig heter "picture.png" bli omdøpt til "picture.png.id-9ECFA84E.[boston.crypt@tuta.io].boost."
Løsepenger og krav
Løsepengene informerer ofrene om at filene deres er kryptert på grunn av et sikkerhetsproblem med datamaskinen deres. Ofre blir bedt om å sende en e-post til boston.crypt@tuta.io med deres tildelte ID for å motta instruksjoner om hvordan de skal betale løsepengene, som må gjøres i Bitcoin. Kostnaden for dekryptering avhenger av hvor raskt offeret kontakter angriperne. Notatene advarer mot å gi nytt navn til krypterte filer eller bruke tredjeparts dekrypteringsverktøy, da disse handlingene kan føre til permanent tap av data eller høyere dekrypteringskostnader.
Her er eksemplet på Boost Ransomwares løsepengenotat:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail boston.crypt@tuta.io
Write this ID in the title of your message -
In case of no answer in 24 hours write us to theese e-mails:boston.crypt@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Detaljer om Dharma Ransomware-familien
Ransomware fra Dharma-familien krypterer vanligvis filer som er lagret lokalt og på nettverksdelinger. Den deaktiverer brannmuren og sletter Volume Shadow Copies for å hindre filgjenoppretting. Dharma løsepengevare spres ofte gjennom kompromitterte Remote Desktop Protocol (RDP)-tjenester, og utnytter svak eller dårlig administrert legitimasjon.
Persistensmekanismer
For å sikre utholdenhet kopierer Dharma-varianter, inkludert Boost Ransomware, seg selv til spesifikke systembaner og oppretter registeroppføringer som kjører skadelig programvare ved oppstart av systemet. De samler også plasseringsdata og kan ekskludere forhåndsdefinerte steder fra kryptering.
Forstå Ransomware
Ransomware fungerer vanligvis ved å kryptere filer og kreve løsepenger, ofte i kryptovaluta, for deres dekryptering. Ofrene får detaljerte betalingsinstruksjoner. Å betale løsepenger sikrer imidlertid ikke gjenoppretting av de krypterte filene. Derfor er det viktig å opprettholde sikkerhetskopier av viktige filer på eksterne servere eller offline lagringsenheter for å minimere risikoen for tap av data og økonomisk skade.
Eksempler på andre ransomware-varianter
Andre løsepengevarianter som ligner på Boost inkluderer Jron Ransomware , AeR Ransomware og Thx Ransomware , som bruker lignende kryptering og løsepengertaktikker.
Metoder for ransomware-infeksjon
Dharma løsepengevare infiltrerer vanligvis systemer via sårbare RDP-tjenester, ofte gjennom brute force eller ordbokangrep som utnytter svake passord. Andre standard infeksjonsmetoder inkluderer ondsinnede e-postvedlegg eller lenker, malvertising, piratkopiert programvare, utnyttelse av OS-sårbarheter og bruk av P2P-nettverk, tredjepartsnedlastere og kompromitterte nettsteder.
Forebyggende tiltak
For å unngå ransomware-infeksjoner:
- Last ned applikasjoner og filer kun fra offisielle nettsteder eller appbutikker.
- Unngå å bruke piratkopiert programvare eller crackingverktøy, og utvis forsiktighet med mistenkelige e-poster, annonser, popup-vinduer og nedlastingsknapper på uklarerte nettsteder.
- Hold programvare og operativsystemer oppdatert og bruk anerkjente sikkerhetsverktøy.
Fjerner Boost Ransomware
Hvis datamaskinen din allerede er infisert med Boost Ransomware, anbefales det at du kjører en omfattende skanning med et pålitelig Windows-antivirusprogram for å fjerne løsepengevaren automatisk.
Viktigheten av regelmessige sikkerhetskopier av filer
I den digitale tidsalderen, hvor løsepengevareangrep har blitt stadig mer sofistikerte og utbredte, er det helt avgjørende å opprettholde regelmessige sikkerhetskopier av viktige filer. Ransomware kan infiltrere systemet ditt uten forvarsel, kryptere filer og gjøre dem utilgjengelige med mindre løsepenger betales. Selv å betale løsepenger garanterer imidlertid ikke sikker retur av dataene dine. Regelmessige sikkerhetskopier fungerer som et sikkerhetsnett, og sikrer at du kan gjenopprette filene dine uten å etterkomme nettkriminelles krav, og dermed unngå potensielle økonomiske tap og forstyrrelser. Ved å ta sikkerhetskopi på eksterne eller skylagringsløsninger som ikke er koblet til hovedsystemet ditt, beskytter du dataene dine mot løsepengevare og andre former for cybertrusler, og bevarer integriteten og kontinuiteten til ditt digitale liv.
