Blue Ransomware
En el panorama digital actual, tenir una protecció suficient contra les amenaces de programari maliciós mai ha estat tan crucial. El ransomware, un tipus de programari maliciós especialment potent, suposa un risc important en xifrar les dades dels usuaris i exigir un rescat per a la seva devolució. Una d'aquestes amenaces, el Blue Ransomware, ha sorgit recentment, dirigida a persones i organitzacions. Entendre com funciona aquest ransomware i com protegir-lo és essencial per mantenir la integritat de les vostres dades i la seguretat dels vostres sistemes.
Taula de continguts
Entendre el ransomware blau
Els investigadors de ciberseguretat han identificat el Blue Ransomware com una variant de la coneguda família Phobos. Aquest programari amenaçador xifra els fitxers dels dispositius infectats, canviant-los el nom afegint l'identificador de la víctima, l'adreça de correu electrònic givebackdata@mail.ru i l'extensió '.blue'. Per exemple, "1.doc" es converteix en "1.doc.id[9ECFA84E-2850].[givebackdata@mail.ru].blue" i "2.pdf" canvia a "2.pdf.id[9ECFA84E-2850". ].[givebackdata@mail.ru].blau'.
La nota de rescat de l'amenaça
Un cop el Blue Ransomware ha xifrat els fitxers, crea fitxers "info.hta" i "info.txt" que contenen una nota de rescat. Aquesta nota informa les víctimes del xifratge i els indica que es posen en contacte amb els atacants mitjançant l'adreça de correu electrònic proporcionada amb el seu identificador únic a l'assumpte. Es recomana a les víctimes que paguin un rescat en Bitcoins per rebre una eina de desxifrat, amb el cost depenent de la velocitat de la seva resposta. A més, s'adverteix a les víctimes que no canviïn el nom dels fitxers xifrats o que utilitzin eines de desxifrat de tercers, ja que això podria provocar la pèrdua de dades o un augment dels costos de desxifrat.
Com funciona el ransomware blau
El Blue Ransomware xifra els fitxers emmagatzemats tant localment com en comparticions de xarxa, desactiva el tallafoc del sistema i elimina les còpies de volum d'ombra per evitar una fàcil recuperació. Assegura la persistència copiant-se al directori '%LOCALAPPDATA%' i registrant-se amb claus d'execució específiques. A més, recopila dades d'ubicació i pot excloure ubicacions predeterminades dels seus atacs, la qual cosa la converteix en una amenaça versàtil i persistent.
Mètodes de lliurament
El ransomware de la família Phobos , inclòs el Blue, sovint es lliura mitjançant serveis vulnerables de protocol d'escriptori remot (RDP). Els atacants solen utilitzar la força bruta i els atacs de diccionari sobre credencials de compte mal gestionades. Altres mètodes de lliurament habituals inclouen correus electrònics fraudulents amb fitxers adjunts o enllaços infectats, tàctiques d'assistència tècnica i explotació de vulnerabilitats en programari obsolet. A més, els cibercriminals poden difondre programari de ransomware mitjançant anuncis maliciosos, llocs web compromesos o enganyosos, xarxes peer-to-peer (P2P), descàrregues de tercers i unitats USB infectades.
Reforç de la vostra seguretat: com defensar-vos contra el ransomware
- Còpies de seguretat periòdiques : fer còpies de seguretat regularment de les vostres dades és una de les defenses més efectives contra el ransomware. Assegureu-vos que les còpies de seguretat s'emmagatzemen fora de línia o en una xarxa independent per evitar que es vegin compromeses durant un atac.
- Contrasenyes fortes i autenticació multifactor : creeu contrasenyes fortes i úniques per a tots els vostres comptes. Activeu l'autenticació multifactor (MFA) sempre que sigui possible. Si ho feu, es redueix significativament els riscos d'accés no autoritzat mitjançant atacs de força bruta o diccionaris.
- Mantenir el programari actualitzat " Actualitzeu regularment tot el programari, inclosos els programes i els sistemes operatius, per corregir les vulnerabilitats que els ciberdelinqüents podrien explotar. Activeu les actualitzacions automàtiques per garantir que esteu sempre protegit amb els darrers pedaços de seguretat.
- Desactiva els serveis innecessaris : desactiveu o limiteu l'ús de RDP i altres serveis remots si no són essencials. Si cal RDP, protegiu-lo amb contrasenyes segures, MFA i restringint l'accés a adreces IP específiques.
- Educar i formar usuaris : educar els usuaris sobre els perills dels correus electrònics de pesca, els fitxers adjunts maliciosos i els enllaços enganyosos. La formació regular ajuda els usuaris a reconèixer i evitar possibles amenaces.
- Utilitzeu solucions de seguretat robustes : implementeu solucions de seguretat integrals, que inclouen protecció contra programari maliciós i tallafoc. Aquests dispositius poden detectar i bloquejar activitats malicioses abans que comprometin el vostre sistema.
Conclusió: la vigilància és clau
L'aparició del Blue Ransomware posa de manifest l'evolució i l'amenaça persistent dels atacs de ransomware. En comprendre com funciona aquest programari maliciós i implementar mesures de seguretat sòlides, els usuaris poden reduir significativament el risc de ser víctimes d'aquests esquemes nocius. Estigueu atents, mantingueu els vostres sistemes actualitzats i feu sempre una còpia de seguretat de les vostres dades per protegir-vos de les amenaces de ransomware.
La nota de rescat lliurada pel Blue Ransomware diu:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail givebackdata@mail.ru
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:getmydata@inbox.ru
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'