Bmo Ransomware
Det ser ut til at Dharma Ransomware-familien fortsatt beholder en viss del av populariteten blant nettkriminelle kretser. Faktisk har infosec-forskere fanget en ny potent Dharma- variant som truer brukernes datamaskiner. Trusselen spores som Bmo Ransomware, og den kan forårsake massiv skade på de kompromitterte enhetene.
Ved å bruke en usprekkelig kryptografisk algoritme, kan angriperne låse offerets filereffektivt. Berørte brukere som ønsker å få tilbake tilgang til sin dyrebare personlige eller viktige arbeidsrelaterte informasjon blir presset ut til å betale løsepenger til angriperne, i bytte mot å motta de nødvendige dekrypteringsnøklene.
Tekniske detaljer
Bmo-ransomwaren kan kryptere dokumenter, PDF-er, arkiver, databaser, bilder, bilder, lyd- og videofiler og mange andre filutvidelser. Hver låst fil vil bli merket via en betydelig endring av det opprinnelige navnet. Først vil Bmo Ransomware legge til en spesifikk ID-streng som er unik for hvert offer. Deretter inkluderer trusselen en e-postadresse (buymeout@onionmail.org) som kontrolleres av operatørene. Til slutt vil '.bmo' bli lagt til som en ny filtype. Etter at alle målrettede filer på systemet er låst, vil skadelig programvare fortsette med å lage to løsepenger. Den ene vil bli plassert i tekstfiler kalt 'info.txt', mens den andre vil bli presentert for offeret som et popup-vindu.
Oversikt over løsepenger
Meldingen i tekstfilen er ekstremt kort og mangler noen meningsfulle detaljer. Den oppfordrer ganske enkelt Bmo Ransomwares ofre til å kontakte angriperne via e-postkjolene 'buymeout@onionmail.org' og 'buymeout@msgsafe.io'. De faktiske instruksjonene fra angriperne vises i popup-vinduet. Løsepengene der klargjør at den sekundære e-posten skal brukes i tilfelle ofre ikke får svar innen 12 timer etter at de har sendt melding til hovede-posten. Den andre halvdelen av notatet består av en rekke advarsler.
Meldingen som leveres via 'info.txt'-filen er:
' alle dataene dine har blitt låst oss
Vil du tilbake?
skriv e-post buymeout@onionmail.org eller buymeout@msgsafe.io '
Popup-vinduets instruksjoner er:
DINE FILER ER KRYPTERT
' 1024
Ikke bekymre deg, du kan returnere alle filene dine!
Hvis du vil gjenopprette dem, skriv til e-posten: buymeout@onionmail.org ID-EN DIN -
Hvis du ikke har svart på e-post innen 12 timer, skriv til oss på en annen e-post:buymeout@msgsafe.ioMERK FØLGENDE!
Vi anbefaler at du kontakter oss direkte for å unngå overbetalende agenterIkke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel. '
