Bec Ransomware
Основната цел на Bec Ransomware е да зарази потребителски и корпоративни компютри и да криптира съхраняваните там данни. След това нападателите ще се опитат да изнудват пари от жертвите чрез схема за двойно изнудване. Първо, те ще вземат заключените файлове като „заложници“ и ще обещаят да ги върнат в нормалните им състояния само след като им платят солиден откуп. Второ, киберпрестъпниците също твърдят, че събират важни лични или поверителни данни преди криптирането на файловете. Беше потвърдено, че Bec Ransomware е нов вариант на злонамерен софтуер, базиран на заплахата Sojusz Ransomware.
Като част от своите действия, Bec Ransomware ще промени сериозно оригиналните имена на криптираните файлове. Той ще добави към тях низ от произволни знаци, последван от имейл адрес, принадлежащ на хакерите, и накрая, ново разширение на файла. Имейл адресът е „beacon@jitjat.org“, а разширението на файла е „.bec“. Бележката за откуп с инструкции от хакерите ще бъде доставена на машината на жертвата като текстов файл с име „!!!HOW_TO_DECRYPT!!!.txt“.
Преглед на бележката за откуп
Според бележката Bec Ransomware използва комбинация от три силни криптографски алгоритма и шифри - AES-256, RSA-2048 и CHACHA. Нападателите също заявяват, че са готови да демонстрират способността си да възстановяват заключените данни, като декриптират 3 малки файла. Избраните файлове обаче не трябва да съдържат никаква ценна информация.
За да започнат контакт, на жертвите се казва, че ще трябва да изпратят съобщение и на двата имейл адреса, намерени в бележката. Единият е същият адрес като този, добавен към имената на засегнатите файлове, докато вторият имейл е „beacon@msgsafe.io“. Според бележката жертвите имат 3 дни да се свържат с хакерите. След изтичане на този период откраднатите данни ще бъдат оповестени на обществеността в Darknet.
Пълната бележка за откуп, пусната от Bec Ransomware, е:
' Всички ваши валидни данни са криптирани!
Здравейте! Съжаляваме, но ви информираме, че поръчката ви е блокирана поради издаване на ценни книжа. Уверете се, че вашите данни не са блокирани.
Всички ваши ценни файлове бяха криптирани със силни алгоритми за криптиране AES-256 + RSA-2048 + CHACHA и преименувани. Можете да прочетете за тези алгоритми в Google.
Вашият уникален ключ за криптиране се съхранява сигурно на нашия сървър и вашите данни могат да бъдат декриптирани бързо и сигурно.
Можем да докажем, че можем да декриптираме всичките ви данни. Моля, просто ни изпратете 3 малки криптирани файла, които се съхраняват на случаен принцип на вашия сървър.
Ние ще декриптираме тези файлове и ще ви ги изпратим като доказателство. Моля, имайте предвид, че файловете за безплатно тестово декриптиране не трябва да съдържат ценна информация.
Както знаете, информацията е най-ценният ресурс в света. Ето защо всички ваши поверителни данни бяха качени на нашите сървъри.
Ако имате нужда от доказателство, просто ни пишете и ние ще ви покажем, че имаме вашите файлове. Ако не започнете диалог с нас след 72 часа
ще бъдем принудени да публикуваме вашите файлове в Darknet. Вашите клиенти и партньори ще бъдат информирани за изтичането на данни по имейл или телефон.
По този начин репутацията ви ще бъде съсипана. Ако не реагирате, ще бъдем принудени да продадем най-важната информация като бази данни
на заинтересованите страни за генериране на някаква печалба.
Моля, разберете, че ние просто си вършим работата. Не искаме да навредим на вашата компания.
Мислете за този инцидент като за възможност да подобрите сигурността си. Ние сме отворени за диалог и сме готови да ви помогнем. Ние сме професионалисти,
моля, не се опитвайте да ни заблудите.
-
Ако искате да разрешите тази ситуация, моля, пишете на ВСИЧКИ от тези 2 имейл адреса:
* beacon@jitjat.org
* beacon@msgsafe.io
В темата, моля, напишете: |вашият MachineID:
------------------------------|и LaunchID:
Важно!
* Молим да изпратите вашето съобщение до ВСИЧКИ от нашите 2 имейл адреса, защото по различни причини вашият имейл може да не бъде доставен.
* Нашето съобщение може да бъде разпознато като sp '
