BuSaveLock 勒索軟件將加密您的文件

我們的研究團隊最近發現了一個名為 BuSaveLock 的勒索軟件變種，它屬於 MedusaLocker 家族。它的主要目標是加密文件並要求付款以換取解密文件。此外，BuSaveLock 包含贖金票據（“How_to_back_files.html”）並修改文件名。

為了重命名文件，BuSaveLock 將一個特定的數字連同“.busavelock”擴展名添加到原始文件名中。擴展中的數字因 BuSaveLock 的特定變體而異。例如，最初名為“1.jpg”的文件將更改為“1.jpg.busavelock53”，而“2.png”將更改為“2.png.busavelock53”，依此類推。

隨附的贖金票據告知受害者所有重要文件均已使用 RSA 和 AES 加密方法進行了加密。它強烈建議不要嘗試使用第三方軟件恢復文件，因為它聲稱此類嘗試會永久損壞文件。此外，該說明指示受害者不要修改或重命名加密文件。

贖金票據大膽斷言，互聯網上沒有可用的軟件可以幫助解決問題，並強調攻擊者擁有解密文件的獨有能力。它進一步指出，攻擊者已經獲得了對高度敏感的個人數據的訪問權限，這些數據目前存儲在私人服務器上。如果受害者拒絕付款，攻擊者就會威脅公開數據或將其出售給其他方。

為了展示他們恢復加密文件的能力，該說明提到網絡犯罪分子提供免費解密 2-3 個不重要的文件。該說明提供了通信的聯繫方式，包括兩個電子郵件地址：ithelp11@securitymy.name 和ithelp11@yousheltered.com。

贖金票據最後警告說，如果未能在 72 小時內與攻擊者聯繫，將導致解密軟件的價格上漲。

BuSaveLock 贖金票據威脅洩露被盜信息

BuSaveLock勒索信全文如下：

您的個人 ID：

您的公司網絡已被滲透
您所有的重要文件都已加密！

您的文件是安全的！僅修改。 (RSA+AES)

任何試圖使用第三方軟件恢復您的文件的行為
將永久損壞它。
不要修改加密文件。
不要重命名加密文件。

互聯網上沒有可用的軟件可以幫助您。我們是唯一能夠做到的
解決你的問題。

我們收集了高度機密/個人數據。這些數據目前存儲在
私人服務器。此服務器將在您付款後立即銷毀。
如果您決定不付款，我們會將您的數據公開或轉售。
因此，您可以期待您的數據在不久的將來公開可用。

我們只求錢，我們的目標不是損害您的聲譽或阻止
您的業務免於運行。

您可以向我們發送 2-3 個非重要文件，我們將免費解密
以證明我們能夠歸還您的文件。

聯繫我們了解價格並獲取解密軟件。

電子郵件：
ithelp11@securitymy.name
ithelp11@yousheltered.com

• 要聯繫我們，請在網站上創建一個新的免費電子郵件帳戶：protonmail.com
  如果您不在 72 小時內聯繫我們，價格將會更高。

像 BuSaveLock 這樣的勒索軟件如何滲透您的系統？

像 BuSaveLock 這樣的勒索軟件可以通過各種方法滲入您的系統，包括：

電子郵件附件：一種常見的方法是通過惡意電子郵件附件。黑客將勒索軟件偽裝成看似無害的文件，例如文檔或 PDF，並將它們作為電子郵件附件發送。如果您在不知不覺中打開並下載附件，勒索軟件就會在您的系統上執行。

惡意鏈接：勒索軟件還可以通過包含受感染網站鏈接的網絡釣魚電子郵件或消息進行分發。單擊這些鏈接可能導致在您的系統上下載和執行勒索軟件。

漏洞利用工具包：網絡犯罪分子可能會利用過時軟件或操作系統中的漏洞。通過使用漏洞利用工具包，當您訪問受感染的網站或點擊惡意廣告時，它們可以自動將勒索軟件傳送到您的系統。

惡意下載：勒索軟件可能隱藏在來自不受信任或受感染網站的看似無害的下載中。這可能包括軟件破解、密鑰生成器或盜版內容，其中勒索軟件有效負載與預期下載捆綁在一起。

遠程桌面協議 (RDP) 漏洞：如果您的系統啟用了遠程桌面協議，並且可以使用薄弱或受損的憑據通過 Internet 訪問，攻擊者可以利用這些漏洞獲得未經授權的訪問並安裝勒索軟件。

惡意廣告：惡意廣告，也稱為惡意廣告，可以出現在合法網站上。這些廣告可能包含惡意代碼，點擊後會觸發勒索軟件的下載和安裝。

偷渡式下載：勒索軟件也可以通過偷渡式下載進行分發，這種情況發生在您訪問受感染的網站時，該網站會在您不知情或沒有交互的情況下自動下載並執行勒索軟件。