Baal Ransomware — это новый клон хаоса

При изучении новых угроз, поступивших в базы данных онлайн-анализа угроз, наша команда обнаружила вредоносное ПО Baal, основанное на программе-вымогателе Chaos. Мы провели пробное выполнение программы-вымогателя Baal на нашей тестовой системе, что привело к шифрованию файлов и изменению их имен. Исходные имена были изменены путем добавления четырехсимвольного расширения, которое генерировалось случайным образом, например, файл с первоначальным названием «1.jpg» отображался как «1.jpg.vkwp» и так далее.

После процесса шифрования была создана записка о выкупе с именем «read_it.txt», а обои рабочего стола были изменены. Сообщение о выкупе информирует жертв о том, что их данные были зашифрованы, и единственный способ восстановить их — заплатить выкуп злоумышленникам. В записке также предусмотрена возможность тестирования расшифровки путем отправки киберпреступникам трех зашифрованных файлов.

Злоумышленники требуют выкуп в размере 121 BTC, что эквивалентно примерно 2,6 млн долларов США по текущему обменному курсу. Эти большие суммы обычно требуются от организаций, учреждений и компаний, а не от домашних пользователей. После совершения платежа в записке жертвам предлагается отправить скриншот транзакции злоумышленникам, и им дается шестидневный срок для выполнения требования о выкупе.

Баал использует длинную записку о выкупе

Записка о выкупе, созданная программой-вымогателем Baal, гласит:

ВАША ЛИЧНАЯ ИНФОРМАЦИЯ ТЕПЕРЬ ЗАШИФРОВАНА ШИФРОВАНИЕМ ВОЕННОГО УРОВНЯ BAAL RASOMWARE

Все файлы на всех затронутых машинах и в сети были зашифрованы с помощью Baal Ransomware Encryption.
Какие гарантии мы вам даем?
Вы можете отправить нам 2 любых зашифрованных файла для расшифровки, а затем отправить их обратно.

Кто несет ответственность за выкуп?
Организация SARB & SA Mint, а не ее сотрудники или партнеры, должны будут заплатить комиссию за получение уникального кода дешифрования и инструмента, который содержит закрытый ключ, связанный с этим конкретным шифрованием.

ПРИМЕЧАНИЕ. Все данные зашифрованы (заблокированы), а не перешифрованы, поэтому их можно расшифровать только с помощью ассоциированного ключа.

У вас есть только 6 (шесть) дней, чтобы оплатить выкуп в биткойнах.

Инструкции:

1. Отправьте 121 BTC (биткойны) на следующий адрес получателя:

буквенно-цифровая строка

Примечание. Перед обработкой всех биткойн-транзакций требуется шесть подтверждений в блокчейне от майнеров. В целом отправка биткойнов может занять от нескольких секунд до более 60 минут. Однако обычно это занимает от 10 до 20 минут. В большинстве случаев для завершения биткойн-транзакций требуется от 1 до 1,5 часов.

2. Отправьте скриншот идентификатора транзакции блокчейна, а не ссылку на адрес электронной почты:

blackbastabaalransomware@protonmail.com

3. После того, как транзакция будет подтверждена. Мы отправим вам по электронной почте инструмент дешифрования одним щелчком мыши, чтобы полностью расшифровать и восстановить все ваши файлы, а также удалить программы-вымогатели на всех ваших компьютерах и в сети навсегда. (Не требуется ИТ-подготовка).
4. Расшифровка обычно занимает от нескольких минут до часа в зависимости от масштаба и размера файлов и дополнительных дисков, которые программа-вымогатель распространила по сети.

Какие гарантии мы вам даем?
Вы можете отправить 3 ваших зашифрованных файла, и мы расшифруем их, а затем отправим обратно.

У вас есть 6 дней, пока ключи дешифрования не будут прекращены, и все данные на затронутых машинах и сетях никогда не будут восстановлены. Мы используем шифрование AES военного класса. Без связанного ключа дешифрования вы можете просто забыть о восстановлении зашифрованных данных.

---

«Блаженны сильные, ибо они унаследуют Землю» — Codex Saerus

Почему не стоит платить выкуп хакерам?

Как правило, платить выкуп хакерам не рекомендуется по нескольким причинам. Во-первых, выплата выкупа не гарантирует, что злоумышленники действительно предоставят ключ дешифрования или выпустят зашифрованные файлы. Во-вторых, выплата выкупа поощряет дальнейшие атаки и усиливает поведение киберпреступников. В-третьих, средства, полученные от выкупа, могут быть использованы для финансирования другой преступной деятельности. Наконец, нет никакого способа гарантировать, что злоумышленники не вернутся за новыми деньгами в будущем, даже после того, как выкуп будет уплачен. В результате эксперты обычно рекомендуют не платить выкуп и вместо этого обращаться за помощью к специалистам по кибербезопасности для восстановления зашифрованных файлов, если это возможно.