BaN Ransomware vergrendelt de meeste bestanden

BaN, een type ransomware geassocieerd met de Xorist-familie, werd gedetecteerd tijdens de analyse van nieuwe bestandsvoorbeelden. BaN is ontworpen om bestanden te coderen en voegt de extensie ".BaN" toe aan bestandsnamen. Daarnaast genereert het een losgeldbrief, bestaande uit een foutmelding en een bestand met de naam "HOW TO DECRYPT FILES.txt."

Ter illustratie van het hernoemen van bestanden die door BaN zijn gecodeerd, zijn voorbeelden hiervan: "1.jpg" wordt "1.jpg.BaN" en "2.png" verandert in "2.png.BaN." Het losgeldbriefje vertelt het slachtoffer dat al zijn bestanden zijn versleuteld en eist een betaling van 0,03 bitcoins om de toegang te herstellen. Het opgegeven Bitcoin-adres wordt verstrekt voor de betaling van het losgeld. Na betaling krijgt het slachtoffer de opdracht contact op te nemen met de aanvaller via banuda@tuta.io of banuda@skiff.com met een specifieke onderwerpregel.

Het briefje verzekert het slachtoffer dat hij na bevestiging van de betaling een decryptor en decryptiesleutels zal ontvangen om de controle over zijn bestanden terug te krijgen. Het raadt ten zeerste af om alternatieve decoderingsmethoden te proberen, waarbij wordt benadrukt dat alleen de sleutels die voor de server van het slachtoffer zijn gegenereerd, de bestanden met succes kunnen decoderen.

Volledige BaN-losgeldbrief

De volledige tekst van het losgeldbriefje van BaN luidt als volgt:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

Aandacht!
Probeer geen andere, goedkopere decoderingsopties, want niemand en niets kan dat
uw bestanden decoderen zonder de sleutels die voor uw server zijn gegenereerd,
u verliest voor altijd tijd, geld en uw bestanden!

Hoe kan ransomware zoals BaN uw systeem infecteren?

Ransomware zoals BaN kan uw systeem op verschillende manieren infecteren, waarbij vaak gebruik wordt gemaakt van kwetsbaarheden of gebruik wordt gemaakt van misleidende tactieken. Hier volgen veelvoorkomende manieren waarop ransomware een systeem kan infiltreren:

Phishing-e-mails: Aanvallers gebruiken vaak phishing-e-mails om ransomware te verspreiden. Deze e-mails kunnen kwaadaardige bijlagen of links bevatten. Als u op de link klikt of de bijlage downloadt, kan het downloaden van de ransomware worden gestart.

Schadelijke links: klikken op gecompromitteerde of kwaadaardige websites kan ook leiden tot ransomware-infecties. Cybercriminelen kunnen ransomware in schijnbaar onschuldige links, downloads of advertenties op websites insluiten.

Malvertising: Schadelijke reclame, of malvertising, houdt in dat er kwaadaardige code in online advertenties wordt geïnjecteerd. Als u op dergelijke advertenties klikt, kan dit het downloaden en installeren van ransomware veroorzaken.

Exploitatie van kwetsbaarheden in software: Makers van ransomware maken regelmatig misbruik van kwetsbaarheden in besturingssystemen, software of applicaties. Systemen die niet onmiddellijk worden bijgewerkt met de nieuwste beveiligingspatches zijn gevoeliger voor deze aanvallen.

Drive-by-downloads: Sommige ransomware kan worden geleverd via drive-by-downloads, waarbij malware automatisch wordt gedownload naar het apparaat van een gebruiker zonder medeweten of toestemming van de gebruiker, vaak wanneer hij gecompromitteerde websites bezoekt.

Geïnfecteerde software-installatieprogramma's: Het downloaden van software of updates van onbetrouwbare bronnen kan ransomware op uw systeem introduceren. Aanvallers kunnen malware vermommen als legitieme software om gebruikers te misleiden om deze te installeren.

Remote Desktop Protocol (RDP)-aanvallen: Als Remote Desktop onjuist is geconfigureerd en wordt blootgesteld aan internet, kunnen aanvallers brute force-aanvallen gebruiken of zwakke wachtwoorden misbruiken om ongeautoriseerde toegang te verkrijgen en ransomware te implementeren.