Bruhnet Ransomware gebruikt Xorist-code

Bruhnet ransomware is een nieuwe ransomware-stam die medio september 2022 in het wild werd gespot. De nieuwe variant behoort tot de familie van de Xorist ransomware-klonen.

Bruhnet gedraagt zich zoals alle recente Xorist-klonen. Het versleutelt bestanden op het beoogde systeem, waardoor hun inhoud vervormd en onleesbaar blijft. De ransomware voegt alleen de tekenreeks ".bruhnet" toe aan versleutelde bestandsnamen. Dit proces verandert een bestand met de naam "document.txt" in "document.txt.bruhnet".

De Bruhnet-ransomware richt zich op document-, media-, archief- en databasebestandstypen, waardoor bestanden die essentieel zijn voor de werking van Windows onaangetast blijven.

Het losgeldbriefje is opgenomen in een bestand met de naam "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt", wat Russisch is voor "hoe bestanden te decoderen", wat duidt op een Russisch sprekende dreigingsactor. De volledige inhoud van de losgeldbrief gaat als volgt:

Aandacht! Al uw bestanden zijn versleuteld!

Om uw bestanden te herstellen en te openen,

stuur een sms met de tekst - naar de gebruiker Telegram @rainfall666

U heeft 1 pogingen om de code in te voeren. Als dit

wordt overschreden, zullen alle gegevens onomkeerbaar verslechteren. Zijn

voorzichtig bij het invoeren van de code!

Glory @bruhnet

De Bruhnet-ransomware zal ook de systeemachtergrond veranderen in een afbeelding met een schedel en grote tekst die de naam van de ransomware spelt.