BaN Ransomware blokuje większość plików

Podczas analizy nowych próbek plików wykryto BaN, rodzaj oprogramowania ransomware powiązanego z rodziną Xorist. BaN służy do szyfrowania plików i dodaje rozszerzenie „.BaN” do nazw plików. Oprócz tego generuje żądanie okupu składające się z komunikatu o błędzie i pliku o nazwie „HOW TO DECRYPT FILES.txt”.

Aby zilustrować zmianę nazw plików zaszyfrowanych przez BaN, przykłady obejmują zmianę „1.jpg” na „1.jpg.BaN” i zmianę „2.png” na „2.png.BaN”. Notatka z żądaniem okupu informuje ofiarę, że wszystkie jej pliki zostały zaszyfrowane i żąda zapłaty w wysokości 0,03 bitcoina za przywrócenie dostępu. Podany adres Bitcoin jest podany do zapłaty okupu. Po dokonaniu płatności ofiara jest proszona o skontaktowanie się z napastnikiem pod adresem banuda@tuta.io lub banuda@skiff.com, podając konkretny temat.

Notatka zapewnia ofiarę, że po potwierdzeniu płatności otrzyma narzędzie odszyfrowujące i klucze odszyfrowujące, aby odzyskać kontrolę nad swoimi plikami. Zdecydowanie odradza próbowanie alternatywnych metod deszyfrowania, podkreślając, że tylko klucze wygenerowane dla serwera ofiary mogą skutecznie odszyfrować pliki.

Pełna treść żądania okupu BaN

Pełny tekst żądania okupu BaN brzmi następująco:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

Uwaga!
Nie próbuj innych tańszych opcji odszyfrowywania, ponieważ nikt i nic nie jest w stanie tego zrobić
odszyfruj swoje pliki bez kluczy wygenerowanych dla Twojego serwera,
stracisz czas, pieniądze i swoje pliki na zawsze!

W jaki sposób oprogramowanie ransomware takie jak BaN może zainfekować Twój system?

Ransomware takie jak BaN może zainfekować Twój system na różne sposoby, często wykorzystując luki w zabezpieczeniach lub opierając się na zwodniczych taktykach. Oto typowe sposoby, w jakie oprogramowanie ransomware może przedostać się do systemu:

E-maile phishingowe: osoby atakujące często wykorzystują e-maile phishingowe do dystrybucji oprogramowania ransomware. Te e-maile mogą zawierać złośliwe załączniki lub łącza. Kliknięcie łącza lub pobranie załącznika może rozpocząć pobieranie oprogramowania ransomware.

Złośliwe łącza: Kliknięcie zainfekowanych lub złośliwych witryn internetowych może również prowadzić do infekcji oprogramowaniem ransomware. Cyberprzestępcy mogą osadzać oprogramowanie ransomware w pozornie nieszkodliwych linkach, plikach do pobrania lub reklamach na stronach internetowych.

Złośliwe reklamy: złośliwe reklamy, czyli złośliwe reklamy, polegają na wstrzykiwaniu złośliwego kodu do reklam internetowych. Kliknięcie takich reklam może spowodować pobranie i instalację oprogramowania ransomware.

Wykorzystywanie luk w oprogramowaniu: Twórcy ransomware często wykorzystują luki w systemach operacyjnych, oprogramowaniu lub aplikacjach. Systemy, które nie są na bieżąco aktualizowane za pomocą najnowszych poprawek zabezpieczeń, są bardziej podatne na tego typu ataki.

Pobieranie dyskowe: niektóre oprogramowanie ransomware może być dostarczane poprzez pobieranie dyskowe, podczas którego złośliwe oprogramowanie jest automatycznie pobierane na urządzenie użytkownika bez jego wiedzy i zgody, często podczas odwiedzania zainfekowanych witryn internetowych.

Zainfekowane instalatory oprogramowania: Pobieranie oprogramowania lub aktualizacji z niezaufanych źródeł może spowodować wprowadzenie oprogramowania ransomware do systemu. Osoby atakujące mogą ukrywać złośliwe oprogramowanie jako legalne, aby nakłonić użytkowników do jego zainstalowania.

Ataki na protokół Remote Desktop Protocol (RDP): Jeśli Pulpit zdalny jest nieprawidłowo skonfigurowany i wystawiony na działanie Internetu, osoby atakujące mogą zastosować ataki brute-force lub wykorzystać słabe hasła w celu uzyskania nieautoryzowanego dostępu i wdrożenia oprogramowania ransomware.