NullBulge рансъмуер
Рансъмуерът NullBulge, вариант на прословутата фамилия LockBit.Ransomware, сее хаос в компютрите по целия свят. Известен със своите усъвършенствани техники за криптиране и безпроблемна способност да нарушава лични и организационни данни, рансъмуерът NullBulge представлява значителна заплаха за киберсигурността.
Характеристики на рансъмуера NullBulge
При заразяване рансъмуерът NullBulge сканира системата на жертвата за широк набор от типове файлове, включително документи, изображения, видеоклипове и бази данни. След това криптира тези файлове с помощта на стабилен алгоритъм за криптиране, което ги прави недостъпни за потребителя. Отличителна черта на този ransomware е, че той добавя произволно разширение към всеки шифрован файл. Например файл с име report.docx може да бъде преименуван на report.docx.3f9w след криптиране.
След криптирането рансъмуерът NullBulge генерира бележка за откуп, наречена [разширение].README.txt, където [разширение] съответства на произволното разширение, добавено към криптираните файлове. Тази бележка за откуп е стратегически поставена в различни директории на заразената система, включително работния плот, за да се гарантира, че ще привлече вниманието на жертвата.
Бележката за откуп обикновено съдържа следната информация:
- Известие за криптиране : Бележката информира жертвите, че техните файлове са криптирани.
- Личен ИД за декриптиране : На всяка жертва се присвоява уникален ИД за ДЕКРИТПИРАНЕ, който е от съществено значение за комуникацията с нападателите и за всяко потенциално декриптиране.
- Инструкции за плащане : Бележката предоставя подробни инструкции как да получите достъп до TOR сайт за по-нататъшна комуникация.
- Оферта за безплатно декриптиране на файлове : За да демонстрират способността и желанието си да декриптират файловете, нападателите предлагат да декриптират един файл безплатно. Това често се разглежда като тактика за изграждане на доверие и принуждаване на жертвите да платят откупа.
Какво да направите, когато сте заразени от рансъмуера NullBulge
Заразяването с ransomware може да бъде тревожно преживяване, но има критични стъпки, които трябва да следвате, за да намалите щетите и да опитате възстановяване:
- Не плащайте откупа
- Плащането на откупа няма да е гаранция, че ще можете да получите достъп до вашите файлове. Освен това насърчава нападателите и финансира бъдещите им престъпни дейности.
- Прекъснете връзката с мрежата
- Незабавно изолирайте заразената система от всяка мрежа, за да предотвратите разпространението на ransomware към други устройства.
- Оценете щетите
- Определете кои файлове и системи са били засегнати. Проверете бележката за откуп за подробности относно криптирането и всякакви конкретни инструкции от нападателите.
- Докладвайте за инцидента
- Докладвайте за атаката с ransomware на вашата местна правоприлагаща агенция или орган за киберсигурност. Предоставянето им на информация за атаката може да помогне в усилията им да се борят с подобни заплахи.
- Потърсете професионална помощ
- Свържете се с професионалист по киберсигурност или компания, специализирана във възстановяването на ransomware. Те могат да помогнат с дешифрирането на вашите файлове или възстановяването на данни от архиви.
- Възстановяване от резервно копие
- Ако имате скорошни резервни копия на вашите данни, възстановете файловете си от тези архиви. Уверете се, че резервното копие е чисто и не е компрометирано от ransomware.
- Използвайте инструменти за дешифриране
- Понякога изследователи и организации по киберсигурност пускат инструменти за дешифриране за определени варианти на ransomware. Проверете уважавани източници като форуми за киберсигурност, уебсайтове на фирми за киберсигурност и организации като за налични инструменти за дешифриране.
- Подобрете бъдещата сигурност
- След като се справите с непосредствената заплаха, предприемете стъпки за подобряване на вашите мерки за киберсигурност. Това включва редовно архивиране, актуализиране на софтуера и системите, използване на надеждни антивирусни решения и обучение на потребителите относно фишинг и други често срещани вектори на атаки.
Рансъмуерът NullBulge, част от фамилията LockBit Ransomware , представлява значителна заплаха поради своите усъвършенствани техники за криптиране и психологическия натиск, който оказва върху жертвите чрез своята бележка за откуп и безплатно предложение за декриптиране. Информираността и готовността са от решаващо значение за борбата с подобни заплахи. Следвайки препоръчителните стъпки, жертвите могат да намалят щетите и да подобрят защитата си срещу бъдещи атаки. Не забравяйте, че най-добрата защита срещу ransomware е комбинация от превантивни мерки, бърза реакция и информирани стратегии за възстановяване.
По-долу ще намерите бележката за откуп, показана в рансъмуера NullBulge:
'NULLBULGE LOCK - BASED ON LOCKBIT~~~
>>>> Your data is encrypted... but dont freak out
If we encrypted you, you majorly f***ed up. But... all can be saved
But not for free, we require an xmr payment>>>> What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption.
Life is too short to be sad. Dont be sad money is only paper. Your files are more important than paper right?
If we do not give you decrypter then nobody will pay us in the future.
To us, our reputation is very important. There is no dissatisfied victim after payment.
>>>> You may contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.
Sometimes you will need to wait a whileLinks for Tor Browser:
hxxp://nullblgtk7dwzpfklgktzll27ovvnj7pvqkoprmhubnnb32qcbmcpgid.onion/Link for the normal browser
hxxp://group.goocasino.org
hxxps://nullbulge.com>>>> Your personal DECRYPTION ID: 217B9D5D58C4AD3C58695ABBA6C6AA0B
>>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!'
