Vad är Boost Ransomware?
Boost Ransomware är en variant av den ökända Dharma ransomware-familjen. När den väl har aktiverats krypterar den filer på offrets system, ändrar filnamn och lämnar efter sig två lösensedlar: en som visas i ett popup-fönster och en annan sparad i en fil med namnet "FILES ENCRYPTED.txt".
Table of Contents
Ändringar av filnamn
Vid kryptering lägger Boost Ransomware till en unik identifierare, e-postadressen boston.crypt@tuta.io och tillägget ".boost" till varje filnamn. Till exempel skulle en fil med namnet "picture.png" döpas om till "picture.png.id-9ECFA84E.[boston.crypt@tuta.io].boost."
Lösenanteckningar och krav
Lösensedlarna informerar offren om att deras filer har krypterats på grund av ett säkerhetsproblem med deras dator. Offren uppmanas att skicka e-post till boston.crypt@tuta.io med sitt tilldelade ID för att få instruktioner om hur man betalar lösensumman, som måste göras i Bitcoin. Kostnaden för dekryptering beror på hur snabbt offret kontaktar angriparna. Anteckningarna varnar för att döpa om krypterade filer eller använda dekrypteringsverktyg från tredje part, eftersom dessa åtgärder kan leda till permanent dataförlust eller högre dekrypteringskostnader.
Här är exemplet på Boost Ransomwares lösennota:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail boston.crypt@tuta.io
Write this ID in the title of your message -
In case of no answer in 24 hours write us to theese e-mails:boston.crypt@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Detaljer om Dharma Ransomware-familjen
Ransomware från Dharma-familjen krypterar vanligtvis filer som lagras lokalt och på nätverksresurser. Det inaktiverar brandväggen och tar bort Volume Shadow Copies för att förhindra filåterställning. Dharma ransomware sprids ofta genom komprometterade tjänster för Remote Desktop Protocol (RDP) och utnyttjar svaga eller dåligt hanterade referenser.
Persistensmekanismer
För att säkerställa beständighet kopierar Dharma-varianter, inklusive Boost Ransomware, sig själva till specifika systemvägar och skapar registerposter som kör skadlig programvara vid systemstart. De samlar också in platsdata och kan utesluta fördefinierade platser från kryptering.
Förstå Ransomware
Ransomware fungerar vanligtvis genom att kryptera filer och kräva en lösensumma, ofta i kryptovaluta, för deras dekryptering. Offren förses med detaljerade betalningsinstruktioner. Att betala lösensumman garanterar dock inte återställningen av de krypterade filerna. Därför är det viktigt att säkerhetskopiera viktiga filer på fjärrservrar eller offlinelagringsenheter för att minimera risken för dataförlust och ekonomisk skada.
Exempel på andra ransomware-varianter
Andra ransomware-varianter som liknar Boost inkluderar Jron Ransomware , AeR Ransomware och Thx Ransomware , som använder liknande kryptering och lösensummataktik.
Metoder för Ransomware-infektion
Dharma ransomware infiltrerar vanligtvis system via sårbara RDP-tjänster, ofta genom brute force eller ordboksattacker som utnyttjar svaga lösenord. Andra vanliga infektionsmetoder inkluderar skadliga e-postbilagor eller länkar, malvertising, piratkopierad programvara, utnyttjande av OS-sårbarheter och användning av P2P-nätverk, tredjepartsnedladdare och komprometterade webbplatser.
Förebyggande åtgärder
För att undvika ransomware-infektioner:
- Ladda bara ned applikationer och filer från officiella webbplatser eller appbutiker.
- Undvik att använda piratkopierad programvara eller cracking-verktyg och var försiktig med misstänkta e-postmeddelanden, annonser, popup-fönster och nedladdningsknappar på opålitliga webbplatser.
- Håll programvara och operativsystem uppdaterade och använd välrenommerade säkerhetsverktyg.
Ta bort Boost Ransomware
Om din dator redan är infekterad med Boost Ransomware, rekommenderas det att du kör en omfattande genomsökning med ett pålitligt Windows-antivirusprogram för att ta bort ransomware automatiskt.
Vikten av regelbundna säkerhetskopieringar av filer
I den digitala tidsåldern, där attacker mot ransomware har blivit allt mer sofistikerade och vanliga, är det absolut nödvändigt att underhålla regelbundna säkerhetskopior av dina viktiga filer. Ransomware kan infiltrera ditt system utan förvarning, kryptera filer och göra dem otillgängliga om inte en lösensumma betalas. Men inte ens att betala lösensumman garanterar säker återlämnande av din data. Regelbundna säkerhetskopieringar fungerar som ett skyddsnät, vilket säkerställer att du kan återställa dina filer utan att följa cyberbrottslingars krav och på så sätt undvika potentiella ekonomiska förluster och störningar. Genom att hålla säkerhetskopior på externa eller molnlagringslösningar som inte är anslutna till ditt huvudsystem, skyddar du dina data mot ransomware och andra former av cyberhot, vilket bevarar integriteten och kontinuiteten i ditt digitala liv.
