BACKJOHN Ransomware

Kyberturvallisuustutkijat ovat törmänneet uuteen vaaralliseen haittaohjelmauhan, jota jäljitetään nimellä BACKJOHN. Kiristysohjelman on havaittu salaavan tietoja, muokkaavan kaikkien salattujen tiedostojen tiedostonimiä ja luovan kaksi lunnaita koskevaa muistiinpanoa "info.hta"- ja "info.txt"-tiedostoina. BACKJOHNin koodi ja käyttäytyminen osoittavat, että uhka on osa Phobos-lunnasohjelmaperhettä.

Kiristysohjelman havaitaan luovan uhrin tunnuksen jokaiselle rikotulle laitteelle ja liittävän sen kaikkien salattujen tiedostojen nimiin. Lisäksi BACKJOHN lisää hyökkääjille kuuluvan sähköpostiosoitteen ja .BACKJOHN-tunnisteen alkuperäisiin tiedostonimiin. Se esimerkiksi muuttaa 1.doc muotoon 1.doc.id[9ECFA84E-3143].[backjohn131@gmail.com].BACKJOHN ja 2.jpg muotoon 2.png.id[9ECFA84E- 3143].[backjohn131@gmail.com].BACKJOHN, ja niin edelleen. BACKJOHNin viestintään käyttämä sähköpostiosoite on backjohn131@gmail.com.

BACKJOHN Ransomware tekee useimmat tiedostot käyttökelvottomiksi

BACKJOHN-lunnasohjelman jättämä lunnausviesti kehottaa uhria ottamaan yhteyttä hyökkääjään sähköpostitse osoitteeseen backjohn131@gmail.com ja ilmoittamaan viestin otsikossa tietyn tunnuksen. Jos hyökkääjä ei vastaa 24 tunnin kuluessa, uhria ohjataan lähettämään viesti osoitteeseen backjohn@tutanota.com.

Hyökkääjä vaatii maksua Bitcoineina vastineeksi uhrin tiedostojen salauksen purkamisesta, ja summa riippuu siitä, kuinka nopeasti uhri ottaa yhteyttä hyökkääjään. Takuumaksuna ennen maksua seteli tarjoaa ilmaisen salauksen purkamisen jopa viidelle tiedostolle tiedoston koon ja tyypin rajoituksin.

Lisäksi muistiinpano varoittaa uhria nimeämästä salattuja tiedostoja uudelleen tai yrittämästä purkaa salausta kolmannen osapuolen ohjelmistolla, koska tämä voi johtaa pysyvään tietojen menettämiseen tai kohonneisiin lunnaisiin. Hyökkääjä on asettanut uhrille selkeät ohjeet, joita on noudatettava, ja noudattamatta jättämisestä seuraa seurauksia.

Tietojesi suojaaminen Ransomware-uhkilta on ratkaisevan tärkeää

Suojatakseen laitteitaan ja tietojaan kiristysohjelmahyökkäyksiä vastaan, käyttäjät voivat toteuttaa yhdistelmän ennaltaehkäiseviä ja reagoivia toimenpiteitä. Näihin toimenpiteisiin kuuluu tietoisuuden lisääminen, varotoimenpiteiden toteuttaminen ja valmius reagoida mahdollisiin uhkiin.

Ennaltaehkäiseviä toimenpiteitä ovat ohjelmistojen ja käyttöjärjestelmien päivittäminen, virus- ja haittaohjelmien torjuntaohjelmistojen käyttö sekä varovaisuus tiedostoja ladattaessa tai sähköpostien tai viestien linkkejä napsauttaessa. Käyttäjien tulee myös välttää epäilyttävien liitteiden tai tuntemattomien lähettäjien sähköpostien avaamista ja käyttää vahvoja salasanoja ja monitekijätodennusta, jos mahdollista.

Ennaltaehkäisevien toimenpiteiden lisäksi käyttäjien tulee olla valmiita reagoimaan mahdollisiin hyökkäyksiin. Tämä edellyttää tärkeiden tietojen säännöllistä varmuuskopiointia ulkoiseen lähteeseen ja varmuuskopioiden palautusprosessien testaamista niiden toimivuuden varmistamiseksi. Käyttäjillä tulee myös olla suunnitelma lunnasohjelmien hyökkäyksiin reagoimiseksi, mukaan lukien tieto keneen ottaa yhteyttä ja mitä toimia hyökkäyksen sattuessa tulee tehdä.

Lopuksi tietoisuuden lisääminen perheen, ystävien ja työtovereiden keskuudessa voi auttaa estämään kiristysohjelmahyökkäysten leviämistä. Muiden valistaminen kiristysohjelmahyökkäuksiin liittyvistä riskeistä ja niiden tunnistamisesta ja niihin reagoimisesta voi auttaa suojelemaan paitsi yksittäisiä laitteita ja tietoja myös kokonaisia verkkoja ja järjestelmiä.

BACKJOHN Ransomwaren lunnaita vaativan viestin koko teksti on:

Kaikki tiedostosi on salattu!
Kaikki tiedostosi on salattu tietokoneesi tietoturvaongelman vuoksi. Jos haluat palauttaa ne, kirjoita meille sähköpostiin backjohn131@gmail.com
Kirjoita tämä tunnus viestisi otsikkoon -
Jos vastausta ei löydy 24 tunnin kuluessa, kirjoita meille tähän sähköpostiin:backjohn@tutanota.com
Sinun on maksettava salauksen purkamisesta Bitcoineilla. Hinta riippuu siitä, kuinka nopeasti kirjoitat meille. Maksun jälkeen lähetämme sinulle työkalun, joka purkaa kaikki tiedostosi.
Ilmainen salauksen purku takuuna
Ennen maksamista voit lähettää meille jopa 5 tiedostoa ilmaista salauksen purkamista varten. Tiedostojen kokonaiskoon tulee olla alle 4 Mt (ei arkistoitu), eivätkä tiedostot saa sisältää arvokasta tietoa. (tietokannat, varmuuskopiot, suuret excel-arkit jne.)
Kuinka saada Bitcoineja
Helpoin tapa ostaa bitcoineja on LocalBitcoins-sivusto. Sinun tulee rekisteröityä, klikata 'Osta bitcoineja' ja valita myyjä maksutavan ja hinnan mukaan.
hxxps://localbitcoins.com/buy_bitcoins
Täältä löydät myös muita Bitcoinien ostopaikkoja ja aloittelijaoppaan:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Huomio!
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolten avulla voi aiheuttaa hinnan nousun (he lisäävät maksunsa meidän hintaan) tai voit joutua huijauksen uhriksi.

Uhan pudottama tekstitiedosto sisältää seuraavan viestin:

!!!Kaikki tiedostosi ovat salattuja!!!
Purkaa niiden salaus lähettämällä sähköpostia tähän osoitteeseen: backjohn131@gmail.com.
Jos emme vastaa 24 tunnin kuluessa, lähetä sähköpostia tähän osoitteeseen: backjohn@tutanota.com