Wat is de BoY-ransomware?

Ons onderzoeksteam heeft onlangs een nieuw ransomware-programma geïdentificeerd, genaamd BoY. Deze schadelijke software maakt deel uit van de Xorist-ransomwarefamilie en werkt door gegevens te versleutelen en betaling te eisen voor ontsleuteling. Bestanden die door deze malware zijn versleuteld, hebben een toegevoegde extensie ".BoY", zoals "1.jpg.BoY".

De losgeldbrief vertelt de slachtoffers dat hun bestanden zijn versleuteld en dat ze moeten betalen voor de decoderingssleutels van de aanvallers om hun gegevens te herstellen. De kosten van deze hersteltools bedragen 0,06 BTC, wat overeenkomt met ongeveer 1.300 USD tegen de huidige cryptoprijzen.

Zoals bij de meeste varianten van ransomware, is decodering zonder de tool van de cybercriminelen meestal onmogelijk. Bovendien ontvangen slachtoffers heel vaak niet de beloofde decoderingssleutels of softwaretools, zelfs niet nadat ze het losgeld hebben betaald.

Om deze reden wordt het ten zeerste afgeraden om losgeld te betalen, aangezien er geen garanties zijn dat dit zal resulteren in succesvol gegevensherstel. Betalen ondersteunt ook illegale activiteiten en moet koste wat het kost worden vermeden.

Om uzelf te beschermen tegen ransomware-aanvallen, is het belangrijk om uw computer en software up-to-date te houden met de nieuwste beveiligingspatches. Bovendien moet u altijd een betrouwbare back-up van uw gegevens hebben die zijn opgeslagen op een externe schijf of cloudopslagservice. Op deze manier kunt u, mocht u ooit het slachtoffer worden van ransomware, uw bestanden herstellen zonder het losgeld te hoeven betalen.

De BoY-ransomwarenotitie

De volledige tekst van de notitie die door de BoY-ransomware wordt gebruikt, luidt als volgt:

AANDACHT!!!

Al uw bestanden zijn versleuteld!
Bestanden kunnen alleen worden gedecodeerd met de sleutels die voor uw pc zijn gegenereerd!
Het bedrag dat je moet betalen om de sleutels te krijgen is 0,06 Bitcoin
Wij accepteren geen andere betaalmethode!

Dit is waar je bitcoin naartoe moet sturen:
bc1q6x4kev9pefay37uctaq9ggqmxrg7a6txn2tanf

Neem na verzending contact met ons op via dit e-mailadres: boyka@tuta.io
Met dit onderwerp: -

Gebruik onderstaande sites om snel bitcoin te kopen
www.localbitcoins.com
www.paxful.com

Een andere lijst met sites is hier te vinden:
hxxps://bitcoin.org/en/exchanges

Na bevestiging van de betaling ontvang je een tutorial en de sleutels voor het decoderen van de bestanden.

Wat zijn dubbele afpersingstactieken bij ransomware?

Tactieken van dubbele afpersing zijn een veelgebruikte tactiek die door ransomware-actoren wordt gebruikt om hun kansen op betaling van slachtoffers te vergroten. Bij dubbele afpersing versleutelen de aanvallers niet alleen de gegevens van het slachtoffer, maar dreigen ze deze ook te publiceren of te lekken als het losgeld niet wordt betaald. Dit type aanval wordt steeds populairder omdat het de aanvallers meer invloed geeft en hun kansen om betaald te worden vergroot.

In de meeste gevallen zullen de aanvallers eerst de gegevens van het slachtoffer versleutelen met een sterk versleutelingsalgoritme, waardoor het voor hen onmogelijk wordt om toegang te krijgen tot hun bestanden zonder losgeld te betalen. Zodra dit is gebeurd, dreigen ze de versleutelde gegevens te publiceren of te lekken, tenzij ze daarvoor een vergoeding ontvangen. De dreiging van het lekken van gevoelige informatie kan genoeg zijn om sommige slachtoffers te overtuigen om te betalen, zelfs als ze geen toegang meer hebben tot hun eigen gegevens.

De dubbele afpersingstactiek wordt vaak gebruikt in combinatie met andere tactieken zoals phishing-e-mails en schadelijke softwaredownloads om de effectiviteit ervan te vergroten. Een aanvaller kan bijvoorbeeld een phishing-e-mail versturen met een schadelijke bijlage die ransomware op de computer van het slachtoffer installeert. Eenmaal geïnstalleerd, zal de ransomware alle bestanden van het slachtoffer versleutelen en betaling eisen voor de ontsleuteling.