Программа-вымогатель BaN блокирует большинство файлов

BaN, тип программы-вымогателя, связанный с семейством Xorist, был обнаружен во время анализа новых образцов файлов. BaN предназначен для шифрования файлов и добавляет к именам файлов расширение «.BaN». Наряду с этим он генерирует записку о выкупе, состоящую из сообщения об ошибке и файла с именем «КАК РАСКРЫВАТЬ ФАЙЛЫ.txt».

Чтобы проиллюстрировать переименование файлов, зашифрованных с помощью BaN, можно привести примеры: «1.jpg» становится «1.jpg.BaN», а «2.png» меняется на «2.png.BaN». В записке о выкупе сообщается жертве, что все ее файлы зашифрованы, и требуется оплата в размере 0,03 биткойна для восстановления доступа. Указанный биткойн-адрес предоставляется для выплаты выкупа. После оплаты жертве предлагается связаться с злоумышленником по адресу Banuda@tuta.io или Banuda@skiff.com, указав конкретную тему письма.

В записке жертва уверяется, что после подтверждения платежа она получит дешифратор и ключи дешифрования, чтобы восстановить контроль над своими файлами. Он настоятельно не рекомендует использовать альтернативные методы расшифровки, подчеркивая, что только ключи, сгенерированные для сервера жертвы, могут успешно расшифровать файлы.

Записка о выкупе BaN полностью

Полный текст записки о выкупе BaN выглядит следующим образом:

Hello

All your files have been encrypted
if you want to decrypt them you have to pay me 0.03 bitcoin.

Make sure you send the 0.03 bitcoins to this address:
bc1qh9a50kaccf2xjutqhmufgrx2s7ycg8rqajdj6r

If you don't own bitcoin, you can easily buy it from these sites:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

You can find a larger list here:
hxxps://bitcoin.org/en/exchanges

After sending the bitcoin, contact me at this email address:
banuda@tuta.io or banuda@skiff.com
with this subject: -
After the payment has been confirmed,
you will get decryptor and decryption keys!

You will also receive information on how to defend against another ransomware attack
and the most important thing is your security hole through which we entered.

Внимание!
Не пробуйте другие более дешевые варианты расшифровки, потому что никто и ничто не сможет
расшифровать ваши файлы без ключей, сгенерированных для вашего сервера,
вы потеряете время, деньги и ваши файлы навсегда!

Как программы-вымогатели, подобные BaN, могут заразить вашу систему?

Программы-вымогатели, такие как BaN, могут заразить вашу систему различными способами, часто используя уязвимости или используя обманную тактику. Вот распространенные способы проникновения программ-вымогателей в систему:

Фишинговые электронные письма. Злоумышленники часто используют фишинговые электронные письма для распространения программ-вымогателей. Эти электронные письма могут содержать вредоносные вложения или ссылки. Нажатие на ссылку или загрузка вложения может инициировать загрузку программы-вымогателя.

Вредоносные ссылки. Нажатие на скомпрометированные или вредоносные веб-сайты также может привести к заражению программами-вымогателями. Киберпреступники могут встраивать программы-вымогатели в, казалось бы, безобидные ссылки, загрузки или рекламу на веб-сайтах.

Вредоносная реклама. Вредоносная реклама или вредоносная реклама предполагает внедрение вредоносного кода в онлайн-рекламу. Нажатие на такую рекламу может вызвать загрузку и установку программы-вымогателя.

Использование уязвимостей программного обеспечения. Создатели программ-вымогателей часто используют уязвимости в операционных системах, программном обеспечении или приложениях. Системы, которые не обновляются своевременно с использованием последних обновлений безопасности, более восприимчивы к этим атакам.

Попутные загрузки. Некоторые программы-вымогатели могут распространяться посредством попутных загрузок, при которых вредоносное ПО автоматически загружается на устройство пользователя без его ведома и согласия, часто при посещении взломанных веб-сайтов.

Установщики зараженного программного обеспечения. Загрузка программного обеспечения или обновлений из ненадежных источников может привести к заражению вашей системы программами-вымогателями. Злоумышленники могут замаскировать вредоносное ПО под легальное программное обеспечение, чтобы обманом заставить пользователей установить его.

Атаки по протоколу удаленного рабочего стола (RDP). Если удаленный рабочий стол неправильно настроен и подключен к Интернету, злоумышленники могут использовать атаки методом перебора или использовать слабые пароли для получения несанкционированного доступа и внедрения программ-вымогателей.