Программа-вымогатель BuSaveLock зашифрует ваши файлы

Наша исследовательская группа недавно обнаружила вариант программы-вымогателя под названием BuSaveLock, принадлежащий к семейству MedusaLocker. Его основная цель — шифровать файлы и требовать плату в обмен на их расшифровку. Кроме того, BuSaveLock включает примечание о выкупе («How_to_back_files.html») и изменяет имена файлов.

Чтобы переименовать файлы, BuSaveLock добавляет к исходным именам файлов определенный номер вместе с расширением «.busavelock». Номер в расширении зависит от конкретного варианта BuSaveLock. Например, файл с первоначальным названием «1.jpg» будет изменен на «1.jpg.busavelock53», а «2.png» станет «2.png.busavelock53» и так далее.

В сопроводительной записке о выкупе жертва информируется о том, что все важные файлы были зашифрованы с использованием методов шифрования RSA и AES. Настоятельно не рекомендуется пытаться восстановить файлы с помощью стороннего программного обеспечения, поскольку утверждается, что такие попытки могут привести к необратимому повреждению файлов. Кроме того, в примечании жертвам предлагается не изменять и не переименовывать зашифрованные файлы.

В записке о выкупе смело утверждается, что никакое программное обеспечение, доступное в Интернете, не может помочь в решении проблемы, подчеркивая, что злоумышленники обладают исключительной способностью расшифровывать файлы. Далее в нем говорится, что злоумышленники получили доступ к конфиденциальным и личным данным, которые в настоящее время хранятся на частном сервере. Если жертвы отказываются платить, злоумышленники угрожают обнародовать данные или продать их другим сторонам.

В качестве демонстрации своих возможностей по восстановлению зашифрованных файлов в записке упоминается, что злоумышленники предлагают бесплатно расшифровать 2-3 неважных файла. В примечании указаны контактные данные для связи, в том числе два адреса электронной почты: ithelp11@securitymy.name и ithelp11@yousheltered.com.

Записка о выкупе заканчивается предупреждением о том, что если злоумышленники не свяжутся с злоумышленниками в течение 72 часов, это приведет к увеличению цены на программное обеспечение для расшифровки.

Записка о выкупе BuSaveLock угрожает утечкой украденной информации

Полный текст записки о выкупе BuSaveLock выглядит следующим образом:

ВАШ ЛИЧНЫЙ ID:

СЕТЬ ВАШЕЙ КОМПАНИИ БЫЛА ВЗЛОМАНА
Все ваши важные файлы были зашифрованы!

Ваши файлы в безопасности! Только модифицированный. (РСА+АЕС)

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
НАВСЕГДА РАЗРУШИТ ЕГО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто может
решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на
частный сервер. Этот сервер будет немедленно уничтожен после оплаты.
Если вы решите не платить, мы опубликуем ваши данные для всех или реселлера.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

Мы ищем только деньги, и наша цель не в том, чтобы навредить вашей репутации или предотвратить
ваш бизнес от запуска.

Вы можете отправить нам 2-3 неважных файла и мы их бесплатно расшифруем
чтобы доказать, что мы можем вернуть ваши файлы.

Свяжитесь с нами, чтобы узнать цену и получить программное обеспечение для расшифровки.

электронная почта:
ithelp11@securitymy.name
ithelp11@youshelted.com

• Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com
  ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ.

Как программы-вымогатели, такие как BuSaveLock, могут проникнуть в вашу систему?

Программы-вымогатели, такие как BuSaveLock, могут проникнуть в вашу систему различными способами, в том числе:

Вложения электронной почты. Одним из распространенных методов является использование вредоносных вложений электронной почты. Хакеры маскируют программы-вымогатели под невинно выглядящие файлы, такие как документы или PDF-файлы, и отправляют их в виде вложений электронной почты. Если вы неосознанно откроете и загрузите вложение, программа-вымогатель запустится в вашей системе.

Вредоносные ссылки: программы-вымогатели также могут распространяться через фишинговые электронные письма или сообщения, содержащие ссылки на зараженные веб-сайты. Нажатие на эти ссылки может привести к загрузке и запуску программ-вымогателей в вашей системе.

Наборы эксплойтов. Киберпреступники могут использовать уязвимости в устаревшем программном обеспечении или операционных системах. Используя наборы эксплойтов, они могут автоматически доставлять программы-вымогатели в вашу систему, когда вы посещаете взломанные веб-сайты или нажимаете на вредоносную рекламу.

Вредоносные загрузки: программы-вымогатели могут быть скрыты в кажущихся безобидными загрузках с ненадежных или взломанных веб-сайтов. Это могут быть взломы программного обеспечения, генераторы ключей или пиратский контент, в котором полезная нагрузка программы-вымогателя связана с предполагаемой загрузкой.

Уязвимости протокола удаленного рабочего стола (RDP): если в вашей системе включен протокол удаленного рабочего стола и она доступна через Интернет со слабыми или скомпрометированными учетными данными, злоумышленники могут использовать эти уязвимости для получения несанкционированного доступа и установки программ-вымогателей.

Вредоносная реклама. Вредоносная реклама, также известная как вредоносная реклама, может появляться на законных веб-сайтах. Эти рекламные объявления могут содержать вредоносный код, который может запускать загрузку и установку программ-вымогателей при нажатии.

Попутные загрузки: программы-вымогатели также могут распространяться посредством попутных загрузок, которые происходят, когда вы посещаете взломанный веб-сайт, который автоматически загружает и запускает программу-вымогатель без вашего ведома или взаимодействия.