BackMyData рансъмуер

BackMyData е заплаха за рансъмуер, която привлече вниманието на изследователите на киберсигурността. Според техния подробен анализ, тази заплаха показва способността да прави различни типове файлове напълно недостъпни чрез използването на стабилни алгоритми за криптиране. Въздействието се простира отвъд криптирането, тъй като оригиналните файлови имена на засегнатите файлове претърпяват съществени модификации. Заплахата добавя ID на жертвата, имейл адрес („backmydata@skiff.com“) и разширението „.backmydata“ към името на всеки променен файл. Това води до отличителна трансформация, илюстрирана от промени като '1.png' да стане '1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata' и '2.pdf' да се трансформира в '2 .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata, наред с други.

Жертвите на BackMyData се сблъскват с две бележки за откуп, представени под формата на файлове „info.hta“ и „info.txt“. Тези бележки служат като канал за комуникация между нападателите и жертвите, като очертават исканията за откуп и инструкции за евентуално плащане. За отбелязване е, че заплахата е идентифицирана като вариант в семейството на Phobos Ransomware , подчертавайки връзката й с по-широка категория заплашителен софтуер.

Файловете на жертвите на BackMyData са взети за заложници от киберпрестъпници

Бележката за откуп, издадена от BackMyData, служи като известие за жертвите, като изрично посочва, че тяхната мрежа е била компрометирана и файловете са криптирани. Той също така разкрива използването на тактики за двойно изнудване от киберпрестъпниците, като твърди, че са събрани поверителни данни, включващи информация, отнасяща се до служители, клиенти, партньори и вътрешна документация на компанията. Бележката изрично съобщава, че всички откраднати данни ще бъдат запазени, докато не бъде платен исканият откуп.

Освен това бележката предоставя ултиматум, заплашвайки да продаде компрометираните данни, ако преговорите се провалят. Той очертава потенциалните последици за жертвата, включително правни последици, финансови загуби и непоправими щети върху репутацията им след освобождаването на данните.

В стратегически опит да принудят спазването на правилата, нападателите предлагат намален откуп, ако жертвата се свърже с тях в рамките на определен период от време. Предоставят се инструкции за комуникация, като се посочва използването на конкретна платформа за съобщения (сесия) и имейл адрес (backmydata@skiff.com).

Освен това бележката за откуп налага стриктни указания, които жертвата да следва, за да предотврати неволно увреждане на криптираните файлове. Той изрично предупреждава срещу включването на трети страни или използването на неоторизиран софтуер за дешифриране, като подчертава необходимостта от съответствие.

Освен криптирането на файлове, BackMyData изостря заплахата, като деактивира защитната стена на целевата система, повишавайки нейната чувствителност към злонамерени дейности. Той умишлено изтрива Shadow Volume Copies, като елиминира потенциални точки за възстановяване. Освен това BackMyData притежава способността да извлича данни за местоположение и използва механизми за устойчивост. Заплахата също така може да бъде конфигурирана да изключва предварително определени местоположения от нейния обхват.

От решаващо значение е да се подчертае, че вариантите на рансъмуер в семейството на Phobos, включително BackMyData, демонстрират тенденция да използват уязвимости в услугите на протокола за отдалечен работен плот (RDP) за заразяване. Те често се възползват от слабите идентификационни данни на акаунта чрез груба сила и речникови атаки, като по този начин получават неоторизиран достъп до системи с неадекватно управлявана сигурност на акаунта. Това подчертава необходимостта от повишени мерки за киберсигурност и бдителност за противодействие на такива сложни заплахи.

Стабилният подход за сигурност би могъл да предотврати заплахи от рансъмуер от въздействие върху устройствата на потребителите

Защитата на устройства от ransomware атаки включва комбинация от проактивни мерки, най-добри практики за киберсигурност и бдителност. Ето някои основни препоръки към потребителите за защита на устройствата си:

• Поддържайте софтуера и системите актуализирани : Редовно актуализирайте операционните системи, софтуерните приложения и програмите за сигурност, за да коригирате уязвимостите и да се предпазите от известни експлойти.
• Използвайте надежден софтуер за сигурност : Инсталирайте уважаван софтуер против злонамерен софтуер на устройства, за да откривате и предотвратявате инфекции с ransomware. Поддържайте софтуера за защита актуализиран за най-новите дефиниции на заплахи.
• Активирайте защитата на защитната стена : Активирайте и поддържайте стабилна защитна стена, за да наблюдавате входящия и изходящия мрежов трафик, добавяйки допълнителен слой на защита срещу неоторизиран достъп.
• Архивирайте важни данни : Редовно архивирайте критични данни на външно, офлайн устройство за съхранение. Базираните в облак решения за архивиране могат също така ефективно да осигурят подходящ контрол на достъпа и процедури за сигурност.
• Проявете бдителност с прикачени файлове и връзки към имейли : Бъдете особено бдителни, когато осъществявате достъп до прикачени файлове или връзки към имейли, особено от неизвестни или подозрителни източници. Проверете легитимността на имейлите и избягвайте изтеглянето на файлове от ненадеждни имейли.
• Използвайте силни, уникални пароли : Използвайте силни и ексклузивни пароли за вашите акаунти и помислете за предимствата от използването на мениджър на пароли, за да ви помогне да генерирате и управлявате сложни пароли. Избягвайте да използвате пароли по подразбиране или лесни за отгатване.
• Прилагане на мрежово сегментиране : Сегментирането на мрежи може да помогне за ограничаване на разпространението на рансъмуер, като ограничи способността му да се движи странично в мрежата. Това ограничава въздействието, ако един сегмент бъде компрометиран.

Чрез комбиниране на тези мерки потребителите могат значително да подобрят защитата си срещу атаки на ransomware и да намалят до минимум потенциалното въздействие върху техните устройства и данни.

Бележката за откуп, генерирана от рансъмуера BackMyData, е:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'