BaN Ransomware bloqueia a maioria dos arquivos

BaN, um tipo de ransomware associado à família Xorist, foi detectado durante a análise de novas amostras de arquivos. BaN foi projetado para criptografar arquivos e anexa a extensão ".BaN" aos nomes de arquivos. Além disso, ele gera uma nota de resgate, que consiste em uma mensagem de erro e um arquivo chamado “HOW TO DECRYPT FILES.txt”.

Para ilustrar a renomeação de arquivos criptografados pelo BaN, exemplos incluem "1.jpg" tornando-se "1.jpg.BaN" e "2.png" mudando para "2.png.BaN". A nota de resgate informa à vítima que todos os seus arquivos foram criptografados e exige um pagamento de 0,03 bitcoins para restaurar o acesso. O endereço Bitcoin especificado é fornecido para o pagamento do resgate. Após o pagamento, a vítima é instruída a entrar em contato com o invasor via banuda@tuta.io ou banuda@skiff.com com um assunto específico.

A nota garante à vítima que após a confirmação do pagamento, ela receberá um descriptografador e chaves de descriptografia para recuperar o controle de seus arquivos. Ele desaconselha fortemente a tentativa de métodos alternativos de descriptografia, enfatizando que apenas as chaves geradas para o servidor da vítima podem descriptografar os arquivos com êxito.

Nota de resgate BaN completa

O texto completo da nota de resgate do BaN é o seguinte:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

Atenção!
Não tente outras opções de descriptografia mais baratas porque ninguém e nada pode
descriptografar seus arquivos sem as chaves geradas para o seu servidor,
você perderá tempo, dinheiro e seus arquivos para sempre!

Como um ransomware como o BaN pode infectar seu sistema?

Ransomwares como o BaN podem infectar seu sistema por meio de vários métodos, muitas vezes explorando vulnerabilidades ou contando com táticas enganosas. Aqui estão algumas maneiras comuns pelas quais o ransomware pode se infiltrar em um sistema:

E-mails de phishing: os invasores costumam usar e-mails de phishing para distribuir ransomware. Esses e-mails podem conter anexos ou links maliciosos. Clicar no link ou baixar o anexo pode iniciar o download do ransomware.

Links maliciosos: clicar em sites comprometidos ou maliciosos também pode levar a infecções por ransomware. Os cibercriminosos podem incorporar ransomware em links, downloads ou anúncios aparentemente inofensivos em sites.

Malvertising: Publicidade maliciosa, ou malvertising, envolve a injeção de código malicioso em anúncios online. Clicar nesses anúncios pode acionar o download e a instalação de ransomware.

Explorando vulnerabilidades de software: Os criadores de ransomware frequentemente exploram vulnerabilidades em sistemas operacionais, software ou aplicativos. Os sistemas que não são atualizados imediatamente com os patches de segurança mais recentes são mais suscetíveis a esses ataques.

Downloads drive-by: alguns ransomware podem ser entregues por meio de downloads drive-by, onde o malware é baixado automaticamente para o dispositivo de um usuário sem seu conhecimento ou consentimento, geralmente ao visitar sites comprometidos.

Instaladores de software infectados: baixar software ou atualizações de fontes não confiáveis pode introduzir ransomware em seu sistema. Os invasores podem disfarçar o malware como software legítimo para induzir os usuários a instalá-lo.

Ataques de Protocolo de Área de Trabalho Remota (RDP): Se a Área de Trabalho Remota estiver configurada incorretamente e exposta à Internet, os invasores poderão usar ataques de força bruta ou explorar senhas fracas para obter acesso não autorizado e implantar ransomware.