BuSaveLock Ransomware irá criptografar seus arquivos

Nossa equipe de pesquisa descobriu recentemente uma variante de ransomware chamada BuSaveLock, que pertence à família MedusaLocker. Seu objetivo principal é criptografar arquivos e exigir pagamento em troca de descriptografá-los. Além disso, o BuSaveLock incorpora uma nota de resgate ("How_to_back_files.html") e modifica os nomes dos arquivos.

Para renomear arquivos, o BuSaveLock adiciona um número específico junto com a extensão ".busavelock" aos nomes dos arquivos originais. O número dentro da extensão varia dependendo da variante específica do BuSaveLock. Por exemplo, um arquivo originalmente denominado "1.jpg" seria alterado para "1.jpg.busavelock53", enquanto "2.png" se tornaria "2.png.busavelock53" e assim por diante.

A nota de resgate que acompanha informa à vítima que todos os arquivos cruciais foram criptografados usando os métodos de criptografia RSA e AES. Ele desaconselha fortemente a tentativa de restaurar os arquivos usando software de terceiros, pois afirma que tais tentativas corromperiam permanentemente os arquivos. Além disso, a nota instrui as vítimas a não modificar ou renomear os arquivos criptografados.

A nota de resgate afirma corajosamente que nenhum software disponível na Internet pode ajudar a resolver o problema, enfatizando que os invasores possuem a capacidade exclusiva de descriptografar os arquivos. Afirma ainda que os invasores obtiveram acesso a dados pessoais altamente confidenciais, que estão atualmente armazenados em um servidor privado. Se as vítimas se recusarem a pagar, os invasores ameaçam tornar os dados públicos ou vendê-los a terceiros.

Como demonstração de sua capacidade de restaurar os arquivos criptografados, a nota menciona que os cibercriminosos se oferecem para descriptografar de 2 a 3 arquivos não importantes gratuitamente. A nota fornece detalhes de contato para comunicação, incluindo dois endereços de e-mail: ithelp11@securitymy.name e ithelp11@yousheltered.com.

A nota de resgate conclui com um aviso de que a falha em entrar em contato com os invasores em 72 horas resultará em um aumento no preço do software de descriptografia.

Nota de resgate BuSaveLock ameaça vazar informações roubadas

O texto completo da nota de resgate do BuSaveLock é o seguinte:

SUA ID PESSOAL:

A REDE DA SUA EMPRESA FOI PENETRADA
Todos os seus arquivos importantes foram criptografados!

Seus arquivos estão seguros! Somente modificado. (RSA+AES)

QUALQUER TENTATIVA DE RESTAURAR SEUS ARQUIVOS COM SOFTWARE DE TERCEIROS
IRÁ CORROMPÊ-LO PERMANENTEMENTE.
NÃO MODIFIQUE ARQUIVOS CRIPTOGRAFADOS.
NÃO RENOMEIE ARQUIVOS CRIPTOGRAFADOS.

Nenhum software disponível na internet pode ajudá-lo. Somos os únicos capazes de
resolver o seu problema.

Coletamos dados altamente confidenciais/pessoais. Esses dados são atualmente armazenados em
um servidor privado. Este servidor será imediatamente destruído após o seu pagamento.
Se você decidir não pagar, divulgaremos seus dados ao público ou ao revendedor.
Portanto, você pode esperar que seus dados estejam disponíveis publicamente em um futuro próximo.

Buscamos apenas dinheiro e nosso objetivo não é prejudicar sua reputação ou impedir
seu negócio de funcionar.

Você pode nos enviar de 2 a 3 arquivos não importantes e nós os descriptografaremos gratuitamente
para provar que podemos devolver seus arquivos.

Entre em contato conosco para saber o preço e obter o software de descriptografia.

e-mail:
ithelp11@securitymy.name
ithelp11@yousheltered.com

• Para entrar em contato conosco, crie uma nova conta de e-mail gratuita no site: protonmail.com
  SE VOCÊ NÃO NOS CONTATAR DENTRO DE 72 HORAS, O PREÇO SERÁ MAIS ALTO.

Como um ransomware como o BuSaveLock pode se infiltrar no seu sistema?

Ransomware como BuSaveLock pode se infiltrar em seu sistema através de vários métodos, incluindo:

Anexos de e-mail: um método comum é por meio de anexos de e-mail maliciosos. Os hackers disfarçam o ransomware como arquivos de aparência inocente, como documentos ou PDFs, e os enviam como anexos de e-mail. Se você abrir e baixar o anexo sem saber, o ransomware será executado em seu sistema.

Links maliciosos: Ransomware também pode ser distribuído por e-mails de phishing ou mensagens que contenham links para sites infectados. Clicar nesses links pode levar ao download e execução de ransomware em seu sistema.

Kits de exploração: os cibercriminosos podem explorar vulnerabilidades em softwares ou sistemas operacionais desatualizados. Ao usar kits de exploração, eles podem entregar ransomware automaticamente em seu sistema quando você visita sites comprometidos ou clica em anúncios maliciosos.

Downloads maliciosos: o ransomware pode estar oculto em downloads aparentemente inofensivos de sites não confiáveis ou comprometidos. Isso pode incluir cracks de software, geradores de chave ou conteúdo pirata, onde a carga útil do ransomware é agrupada com o download pretendido.

Vulnerabilidades do Protocolo de Área de Trabalho Remota (RDP): se o seu sistema tiver o Protocolo de Área de Trabalho Remota ativado e estiver acessível pela Internet com credenciais fracas ou comprometidas, os invasores podem explorar essas vulnerabilidades para obter acesso não autorizado e instalar ransomware.

Malvertising: Anúncios maliciosos, também conhecidos como malvertisements, podem aparecer em sites legítimos. Esses anúncios podem conter código malicioso que pode acionar o download e a instalação de ransomware quando clicados.

Downloads drive-by: o ransomware também pode ser distribuído por meio de downloads drive-by, que ocorrem quando você visita um site comprometido que baixa e executa automaticamente o ransomware sem o seu conhecimento ou interação.