BACKJOHN Ransomware

Изследователите на киберсигурността се натъкнаха на нова опасна заплаха от злонамерен софтуер, проследена като BACKJOHN. Забелязано е, че рансъмуерът криптира данни, променя имената на всички криптирани файлове и създава две бележки за откуп под формата на файлове „info.hta“ и „info.txt“. Кодът и поведението на BACKJOHN показват, че заплахата е част от фамилията Phobos рансъмуер.

Наблюдава се, че рансъмуерът създава идентификатор на жертва за всяко пробито устройство и го добавя към имената на всички криптирани файлове. Освен това BACKJOHN добавя имейл адрес, принадлежащ на нападателите, и разширение „.BACKJOHN“ към оригиналните имена на файлове. Например, той променя „1.doc“ на „1.doc.id[9ECFA84E-3143].[backjohn131@gmail.com].BACKJOHN“ и „2.jpg“ на „2.png.id[9ECFA84E- 3143].[backjohn131@gmail.com].BACKJOHN“ и т.н. Имейл адресът, използван от BACKJOHN за комуникация, е „backjohn131@gmail.com“.

BACKJOHN Ransomware прави повечето файлове неизползваеми

Бележката за откуп, оставена от рансъмуера BACKJOHN, инструктира жертвата да се свърже с нападателя на имейл адреса backjohn131@gmail.com, с конкретен идентификатор, включен в заглавието на съобщението. Ако нападателят не отговори в рамките на 24 часа, жертвата се насочва да изпрати съобщение до backjohn@tutanota.com.

Нападателят изисква плащане в биткойни в замяна на дешифрирането на файловете на жертвата, като сумата зависи от това колко бързо жертвата се свързва с нападателя. Като гаранция преди плащане, бележката предлага безплатно декриптиране на до пет файла, с ограничения за размера и вида на файла.

Освен това бележката предупреждава жертвата да не преименува криптираните файлове или да опитва декриптиране със софтуер на трети страни, тъй като това може да доведе до трайна загуба на данни или увеличени разходи за откуп. Нападателят е поставил ясни инструкции, които жертвата да следва, с последствия при неспазване.

Защитата на вашите данни от заплахи от рансъмуер е от решаващо значение

За да защитят своите устройства и данни от рансъмуер атаки, потребителите могат да прилагат комбинация от превантивни и реактивни мерки. Тези мерки включват повишаване на осведомеността, вземане на предпазни мерки и готовност за реагиране на потенциални заплахи.

Превантивните мерки включват актуализиране на софтуера и операционните системи, използване на софтуер за защита от вируси и злонамерен софтуер и предпазливост при изтегляне на файлове или кликване върху връзки в имейли или съобщения. Потребителите също трябва да избягват отварянето на подозрителни прикачени файлове или имейли от неизвестни податели и трябва да използват силни пароли и многофакторно удостоверяване, когато е възможно.

В допълнение към превантивните мерки, потребителите също трябва да бъдат подготвени да реагират на потенциални атаки. Това включва редовно архивиране на важни данни към външен източник и тестване на процесите за възстановяване на архиви, за да се гарантира, че те функционират. Потребителите също трябва да разполагат с план за реагиране на атаки на ransomware, включително да знаят с кого да се свържат и какви стъпки да предприемат в случай на атака.

И накрая, повишаването на осведомеността сред семейството, приятелите и колегите може да помогне за предотвратяване на разпространението на атаки на ransomware. Обучението на другите относно рисковете, свързани с атаките на рансъмуер и как да ги идентифицират и реагират, може да допринесе много за защитата не само на отделни устройства и данни, но и на цели мрежи и системи.

Пълният текст на съобщението на BACKJOHN Ransomware за искане на откуп е:

Всичките ви файлове са криптирани!
Всички ваши файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейл backjohn131@gmail.com
Напишете този идентификатор в заглавието на вашето съобщение -
В случай на липса на отговор до 24 часа, пишете ни на този имейл: backjohn@tutanota.com
Трябва да платите за дешифриране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента, който ще дешифрира всичките ви файлове.
Безплатно дешифриране като гаранция
Преди плащане можете да ни изпратите до 5 файла за безплатно дешифриране. Общият размер на файловете трябва да е по-малък от 4Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, резервни копия, големи Excel листове и т.н.)
Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.

Текстовият файл, изпуснат от заплахата, съдържа следното съобщение:

!!!Всички ваши файлове са криптирани!!!
За да ги дешифрирате, изпратете имейл на този адрес: backjohn131@gmail.com.
Ако не отговорим до 24 часа, изпратете имейл на този адрес: backjohn@tutanota.com