BuSaveLock 勒索软件将加密您的文件

我们的研究团队最近发现了一个名为 BuSaveLock 的勒索软件变种，它属于 MedusaLocker 家族。它的主要目标是加密文件并要求付款以换取解密文件。此外，BuSaveLock 包含赎金票据（“How_to_back_files.html”）并修改文件名。

为了重命名文件，BuSaveLock 将一个特定的数字连同“.busavelock”扩展名添加到原始文件名中。扩展中的数字因 BuSaveLock 的特定变体而异。例如，最初名为“1.jpg”的文件将更改为“1.jpg.busavelock53”，而“2.png”将更改为“2.png.busavelock53”，依此类推。

随附的赎金票据告知受害者所有重要文件均已使用 RSA 和 AES 加密方法进行了加密。它强烈建议不要尝试使用第三方软件恢复文件，因为它声称此类尝试会永久损坏文件。此外，该说明指示受害者不要修改或重命名加密文件。

赎金票据大胆断言，互联网上没有可用的软件可以帮助解决问题，并强调攻击者拥有解密文件的独有能力。它进一步指出，攻击者已经获得了对高度敏感的个人数据的访问权限，这些数据目前存储在私人服务器上。如果受害者拒绝付款，攻击者就会威胁公开数据或将其出售给其他方。

为了展示他们恢复加密文件的能力，该说明提到网络犯罪分子提供免费解密 2-3 个不重要的文件。该说明提供了通信的联系方式，包括两个电子邮件地址：ithelp11@securitymy.name 和ithelp11@yousheltered.com。

赎金票据最后警告说，如果未能在 72 小时内与攻击者联系，将导致解密软件的价格上涨。

BuSaveLock 赎金票据威胁泄露被盗信息

BuSaveLock勒索信全文如下：

您的个人 ID：

您的公司网络已被渗透
您所有的重要文件都已加密！

您的文件是安全的！仅修改。 (RSA+AES)

任何试图使用第三方软件恢复您的文件的行为
将永久损坏它。
不要修改加密文件。
不要重命名加密文件。

互联网上没有可用的软件可以帮助您。我们是唯一能够做到的
解决你的问题。

我们收集了高度机密/个人数据。这些数据目前存储在
私人服务器。此服务器将在您付款后立即销毁。
如果您决定不付款，我们会将您的数据公开或转售。
因此，您可以期待您的数据在不久的将来公开可用。

我们只求钱，我们的目标不是损害您的声誉或阻止
您的业务免于运行。

您可以向我们发送 2-3 个非重要文件，我们将免费解密
以证明我们能够归还您的文件。

联系我们了解价格并获取解密软件。

电子邮件：
ithelp11@securitymy.name
ithelp11@yousheltered.com

• 要联系我们，请在网站上创建一个新的免费电子邮件帐户：protonmail.com
  如果您不在 72 小时内联系我们，价格将会更高。

像 BuSaveLock 这样的勒索软件如何渗透您的系统？

像 BuSaveLock 这样的勒索软件可以通过各种方法渗入您的系统，包括：

电子邮件附件：一种常见的方法是通过恶意电子邮件附件。黑客将勒索软件伪装成看似无害的文件，例如文档或 PDF，并将它们作为电子邮件附件发送。如果您在不知不觉中打开并下载附件，勒索软件就会在您的系统上执行。

恶意链接：勒索软件还可以通过包含受感染网站链接的网络钓鱼电子邮件或消息进行分发。单击这些链接可能导致在您的系统上下载和执行勒索软件。

漏洞利用工具包：网络犯罪分子可能会利用过时软件或操作系统中的漏洞。通过使用漏洞利用工具包，当您访问受感染的网站或点击恶意广告时，它们可以自动将勒索软件传送到您的系统。

恶意下载：勒索软件可能隐藏在来自不受信任或受感染网站的看似无害的下载中。这可能包括软件破解、密钥生成器或盗版内容，其中勒索软件有效负载与预期下载捆绑在一起。

远程桌面协议 (RDP) 漏洞：如果您的系统启用了远程桌面协议，并且可以使用薄弱或受损的凭据通过 Internet 访问，攻击者可以利用这些漏洞获得未经授权的访问并安装勒索软件。

恶意广告：恶意广告，也称为恶意广告，可以出现在合法网站上。这些广告可能包含恶意代码，点击后会触发勒索软件的下载和安装。

偷渡式下载：勒索软件也可以通过偷渡式下载进行分发，这种情况发生在您访问受感染的网站时，该网站会在您不知情或没有交互的情况下自动下载并执行勒索软件。