什么是 Boost 勒索软件?
Boost Ransomware 是臭名昭著的 Dharma 勒索软件家族的一个变种。一旦激活,它会加密受害者系统上的文件、更改文件名并留下两封勒索信:一封显示在弹出窗口中,另一封保存在名为“FILES ENCRYPTED.txt”的文件中。
Table of Contents
修改文件名
加密后,Boost 勒索软件会在每个文件名后附加一个唯一标识符、电子邮件地址 boston.crypt@tuta.io 和“.boost”扩展名。例如,最初名为“picture.png”的文件将被重命名为“picture.png.id-9ECFA84E.[boston.crypt@tuta.io].boost”。
赎金通知和要求
赎金通知告知受害者,由于计算机存在安全问题,他们的文件已被加密。受害者被指示向 boston.crypt@tuta.io 发送电子邮件,并提供其指定的 ID,以获取有关如何支付赎金的说明,赎金必须以比特币支付。解密成本取决于受害者联系攻击者的速度。通知警告不要重命名加密文件或使用第三方解密工具,因为这些操作可能会导致永久性数据丢失或更高的解密成本。
以下是 Boost Ransomware 勒索信的示例:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail boston.crypt@tuta.io
Write this ID in the title of your message -
In case of no answer in 24 hours write us to theese e-mails:boston.crypt@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
关于 Dharma 勒索软件家族的详细信息
Dharma 家族的勒索软件通常会加密本地存储和网络共享上的文件。它会禁用防火墙并删除卷影副本,以阻碍文件恢复工作。Dharma 勒索软件通常通过受感染的远程桌面协议 (RDP) 服务进行传播,利用薄弱或管理不善的凭证。
持久性机制
为了确保持久性,Dharma 变体(包括 Boost Ransomware)会将自身复制到特定的系统路径并创建注册表项,以便在系统启动时运行恶意软件。它们还会收集位置数据,并可以从加密中排除预定义位置。
了解勒索软件
勒索软件通常通过加密文件并要求支付赎金(通常以加密货币支付)来解密。受害者会收到详细的付款说明。但是,支付赎金并不能确保恢复加密文件。因此,在远程服务器或离线存储设备上备份重要文件至关重要,以最大限度地降低数据丢失和财务损失的风险。
其他勒索软件变体示例
与 Boost 类似的其他勒索软件变种包括Jron Ransomware 、 AeR Ransomware和Thx Ransomware ,它们采用类似的加密和勒索策略。
勒索软件感染方法
Dharma 勒索软件通常通过易受攻击的 RDP 服务入侵系统,通常通过暴力破解或利用弱密码的字典攻击。其他标准感染方法包括恶意电子邮件附件或链接、恶意广告、盗版软件、利用操作系统漏洞以及使用 P2P 网络、第三方下载器和受感染的网站。
预防措施
为了避免勒索软件感染:
- 仅从官方网站或应用商店下载应用程序和文件。
- 避免使用盗版软件或破解工具,并谨慎对待不受信任网站上的可疑电子邮件、广告、弹出窗口和下载按钮。
- 保持软件和操作系统为最新版本并使用信誉良好的安全工具。
删除 Boost 勒索软件
如果您的计算机已经感染了 Boost Ransomware,建议您使用可靠的 Windows 防病毒程序运行全面扫描,以自动删除勒索软件。
定期文件备份的重要性
在数字时代,勒索软件攻击变得越来越复杂和普遍,定期备份重要文件绝对至关重要。勒索软件可以在没有警告的情况下渗透到您的系统中,加密文件并使其无法访问,除非支付赎金。但是,即使支付赎金也不能保证您的数据安全归还。定期备份可以充当安全网,确保您可以在不遵守网络犯罪分子的要求的情况下恢复文件,从而避免潜在的财务损失和破坏。通过将备份保存在未连接到主系统的外部或云存储解决方案上,您可以保护数据免受勒索软件和其他形式的网络威胁,从而维护您的数字生活的完整性和连续性。
