BuSaveLock Ransomware vil kryptere filene dine

Forskningsteamet vårt oppdaget nylig en løsepengevarevariant kalt BuSaveLock, som tilhører MedusaLocker-familien. Dens primære mål er å kryptere filer og kreve betaling i bytte mot å dekryptere dem. I tillegg inneholder BuSaveLock en løsepengenotat ("How_to_back_files.html") og endrer filnavn.

For å gi nytt navn til filer legger BuSaveLock til et spesifikt nummer sammen med utvidelsen ".busavelock" til de originale filnavnene. Antallet i utvidelsen varierer avhengig av den spesielle varianten av BuSaveLock. For eksempel vil en fil opprinnelig kalt "1.jpg" bli endret til "1.jpg.busavelock53," mens "2.png" vil bli "2.png.busavelock53," og så videre.

Den medfølgende løsepengenotaen informerer offeret om at alle viktige filer er kryptert med RSA- og AES-krypteringsmetoder. Den fraråder på det sterkeste å forsøke å gjenopprette filene ved hjelp av tredjepartsprogramvare, siden den hevder at slike forsøk vil ødelegge filene permanent. Videre instruerer notatet ofrene om ikke å endre eller gi nytt navn til de krypterte filene.

Løsepengene hevder dristig at ingen programvare tilgjengelig på internett kan hjelpe til med å løse problemet, og understreker at angriperne har den eksklusive muligheten til å dekryptere filene. Videre heter det at angriperne har fått tilgang til svært sensitive og personlige data, som i dag er lagret på en privat server. Hvis ofrene nekter å betale, truer angriperne med å offentliggjøre dataene eller selge dem til andre parter.

Som en demonstrasjon av deres evne til å gjenopprette de krypterte filene, nevner notatet at nettkriminelle tilbyr å dekryptere 2-3 ikke-viktige filer gratis. Notatet inneholder kontaktdetaljer for kommunikasjon, inkludert to e-postadresser: ithelp11@securitymy.name og ithelp11@yousheltered.com.

Løsepengene avsluttes med en advarsel om at manglende kontakt med angriperne innen 72 timer vil resultere i en økt pris for dekrypteringsprogrammet.

BuSaveLock løsepengenotat truer med å lekke stjålet informasjon

Den fullstendige teksten til BuSaveLock løsepengenotatet lyder som følger:

DIN PERSONLIGE ID:

BEDRIFTSNETTVERKET ER PENETRERT
Alle dine viktige filer er kryptert!

Filene dine er trygge! Kun modifisert. (RSA+AES)

EVENTUELLE FORSØK PÅ Å GJENOPPE FILENE DINE MED TREDJEPARTSPROGRAMVARE
VIL PERMANENT KORRUPTERE DET.
IKKE ENDRE KRYPTERT FILER.
IKKE GI KRYPTERT FILER GJENNOMFØR.

Ingen programvare tilgjengelig på internett kan hjelpe deg. Vi er de eneste som kan
løse problemet ditt.

Vi samlet inn svært konfidensielle/personlige data. Disse dataene er for øyeblikket lagret på
en privat server. Denne serveren vil umiddelbart bli ødelagt etter betalingen din.
Hvis du bestemmer deg for å ikke betale, vil vi frigi dataene dine til offentlig eller videreselger.
Så du kan forvente at dataene dine blir offentlig tilgjengelig i nær fremtid.

Vi søker kun penger og målet vårt er ikke å skade omdømmet ditt eller forhindre
virksomheten din fra å kjøre.

Du kan sende oss 2-3 ikke-viktige filer, og vi vil dekryptere dem gratis
for å bevise at vi er i stand til å gi tilbake filene dine.

Kontakt oss for pris og få dekrypteringsprogramvare.

e-post:
ithelp11@securitymy.name
ithelp11@yousheltered.com

• For å kontakte oss, opprett en ny gratis e-postkonto på nettstedet: protonmail.com
  HVIS DU IKKE KONTAKTER OSS INNEN 72 TIMER, VIL PRISEN VÆRE HØYERE.

Hvordan kan ransomware som BuSaveLock infiltrere systemet ditt?

Ransomware som BuSaveLock kan infiltrere systemet ditt gjennom ulike metoder, inkludert:

E-postvedlegg: En vanlig metode er gjennom ondsinnede e-postvedlegg. Hackere skjuler løsepenger som uskyldige filer, for eksempel dokumenter eller PDF-er, og sender dem som e-postvedlegg. Hvis du ubevisst åpner og laster ned vedlegget, kjøres løsepengevaren på systemet ditt.

Ondsinnede lenker: Ransomware kan også distribueres gjennom phishing-e-post eller meldinger som inneholder lenker til infiserte nettsteder. Å klikke på disse koblingene kan føre til nedlasting og kjøring av løsepengevare på systemet ditt.

Utnyttelsessett: Nettkriminelle kan utnytte sårbarheter i utdatert programvare eller operativsystemer. Ved å bruke utnyttelsessett kan de automatisk levere løsepengevare til systemet ditt når du besøker kompromitterte nettsteder eller klikker på ondsinnede annonser.

Ondsinnede nedlastinger: Ransomware kan skjules i tilsynelatende harmløse nedlastinger fra uklarerte eller kompromitterte nettsteder. Dette kan inkludere programvaresprekker, nøkkelgeneratorer eller piratkopiert innhold, der løsepengevare-nyttelasten er samlet med den tiltenkte nedlastingen.

Remote Desktop Protocol (RDP)-sårbarheter: Hvis systemet ditt har Remote Desktop Protocol aktivert og er tilgjengelig over internett med svak eller kompromittert legitimasjon, kan angripere utnytte disse sårbarhetene til å få uautorisert tilgang og installere løsepengeprogramvare.

Malvertising: Ondsinnede annonser, også kjent som malvertisements, kan vises på legitime nettsteder. Disse annonsene kan inneholde ondsinnet kode som kan utløse nedlasting og installasjon av løsepengevare når de klikkes.

Drive-by-nedlastinger: Ransomware kan også distribueres gjennom drive-by-nedlastinger, som skjer når du besøker et kompromittert nettsted som automatisk laster ned og kjører løsepengevaren uten din viten eller interaksjon.