BACKJOHN Ransomware

A kiberbiztonsági kutatók új, veszélyes kártevő-fenyegetésre bukkantak, amelyet BACKJOHN néven követnek. A ransomware megfigyelések szerint titkosítja az adatokat, módosítja az összes titkosított fájl fájlnevét, és két váltságdíj-jegyzetet hoz létre „info.hta” és „info.txt” fájlok formájában. BACKJOHN kódja és viselkedése azt jelzi, hogy a fenyegetés a Phobos ransomware család része.

A megfigyelések szerint a zsarolóprogram minden feltört eszközhöz létrehozza az áldozat azonosítóját, és hozzáfűzi az összes titkosított fájl nevéhez. Ezenkívül a BACKJOHN hozzáad egy, a támadókhoz tartozó e-mail címet és egy „.BACKJOHN” kiterjesztést az eredeti fájlnevekhez. Például az „1.doc” értéket „1.doc.id[9ECFA84E-3143].[backjohn131@gmail.com].BACKJOHN”-ra, a „2.jpg”-t pedig „2.png.id[9ECFA84E- 3143].[backjohn131@gmail.com].BACKJOHN,' és így tovább. A BACKJOHN által a kommunikációhoz használt e-mail cím: "backjohn131@gmail.com".

A BACKJOHN Ransomware a legtöbb fájlt használhatatlanná teszi

A BACKJOHN ransomware által hagyott váltságdíj-jegyzet arra utasítja az áldozatot, hogy lépjen kapcsolatba a támadóval a backjohn131@gmail.com e-mail címen, az üzenet címében szereplő konkrét azonosító megadásával. Ha a támadó 24 órán belül nem válaszol, az áldozatot arra utasítják, hogy küldjön üzenetet a backjohn@tutanota.com címre.

A támadó Bitcoinban fizetést követel az áldozat fájljainak visszafejtéséért cserébe, amelynek összege attól függ, hogy az áldozat milyen gyorsan lép kapcsolatba a támadóval. Fizetés előtti garanciaként a jegyzet legfeljebb öt fájl ingyenes visszafejtését kínálja, a fájl méretére és típusára vonatkozó korlátozásokkal.

Ezenkívül a feljegyzés figyelmezteti az áldozatot, hogy ne nevezze át a titkosított fájlokat, vagy ne próbálja meg harmadik féltől származó szoftverrel visszafejteni, mivel ez tartós adatvesztést vagy megnövekedett váltságdíjakat eredményezhet. A támadó egyértelmű utasításokat állított fel az áldozat számára, amelyet követni kell, és ennek be nem tartása következményekkel jár.

Adatainak védelme a zsarolóvírus-fenyegetések ellen kulcsfontosságú

Annak érdekében, hogy megvédjék eszközeiket és adataikat a ransomware támadásoktól, a felhasználók megelőző és reagáló intézkedések kombinációját alkalmazhatják. Ezek az intézkedések magukban foglalják a figyelem felkeltését, az óvintézkedések megtételét és a potenciális veszélyekre való reagálásra való felkészülést.

A megelőző intézkedések közé tartozik a szoftverek és operációs rendszerek naprakészen tartása, a vírus- és kártevőirtó szoftverek használata, valamint a fájlok letöltése, illetve az e-mailekben vagy üzenetekben található hivatkozásokra való kattintás során történő óvatosság. A felhasználóknak kerülniük kell az ismeretlen feladóktól származó gyanús mellékletek vagy e-mailek megnyitását, és erős jelszavakat és többtényezős hitelesítést kell használniuk, ha rendelkezésre állnak.

A megelőző intézkedések mellett a felhasználóknak fel kell készülniük a lehetséges támadásokra is. Ez magában foglalja a fontos adatok rendszeres biztonsági mentését egy külső forrásba, és a biztonsági mentési helyreállítási folyamatok tesztelését, hogy megbizonyosodjon azok működőképességéről. A felhasználóknak tervet kell készíteniük a ransomware támadásokra való reagálásra, beleértve azt is, hogy tudják, kihez forduljanak, és milyen lépéseket kell tenniük támadás esetén.

Végül a család, a barátok és a munkatársak tudatosítása segíthet megakadályozni a ransomware támadások terjedését. Ha másokat felvilágosít a zsarolóvírus-támadásokkal kapcsolatos kockázatokról, valamint arról, hogyan lehet azonosítani és reagálni rájuk, az nemcsak az egyes eszközök és adatok, hanem a teljes hálózatok és rendszerek védelmében is sokat segíthet.

A BACKJOHN Ransomware váltságdíjat követelő üzenetének teljes szövege a következő:

Minden fájlod titkosítva lett!
A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk a backjohn131@gmail.com e-mail címre.
Írja be ezt az azonosítót az üzenet címébe -
Ha 24 órán belül nem érkezik válasz, írjon nekünk erre az e-mail címre:backjohn@tutanota.com
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.
Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 5 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 4 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)
Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.

A fenyegetés által eldobott szövegfájl a következő üzenetet tartalmazza:

!!!Minden fájlod titkosítva van!!!
A visszafejtéshez küldjön e-mailt erre a címre: backjohn131@gmail.com.
Ha 24 órán belül nem válaszolunk, küldjön e-mailt erre a címre: backjohn@tutanota.com