Banhu Ransomware
De Banhu Ransomware is een trojan voor het vergrendelen van bestanden en behoort tot de familie van Phobos Ransomware. De Banhu Ransomware-aanvallen zullen de meeste mediabestanden op Windows-computers blokkeren om losgeld van slachtoffers af te persen voor de herstelservice. Gebruikers kunnen de Banhu Ransomware het meest efficiënt verwijderen door hun pc's te scannen met speciale beveiligingssoftware voordat ze bestanden van eerdere back-ups herstellen.
Een programma dat gegevens blokkeert bij elke aanslag van een snaar
De Phobos Ransomware, soms vergeten naast talloze families van file-locker Trojaanse paarden, is nog steeds een actief onderdeel van het dreigingslandschap van 2020 voor het afpersen van geld door middel van encryptie-aanvallen. Net als de meest recente Banhu Ransomware, worden de leden van deze familie gemakkelijk aangezien als varianten van de meer herkenbare Globe Ransomware- of Globe Imposter Ransomware- groepen. Afgezien van visuele overeenkomsten, kunnen de varianten van deze Trojaanse familie met angstthema even bedreigend zijn en de bestanden van Windows-gebruikers permanent achter slot en grendel houden.
De Banhu Ransomware kan zijn naam ontlenen aan een Chinees snaarinstrument. De meeste gezinsleden gebruiken echter niet zo'n regionaal specifiek thema (zie ter vergelijking ook: de 1500dollars Ransomware, de Eight Ransomware, de EKING Ransomware of de Adage Ransomware). De Trojan richt zich op Windows-omgevingen en blokkeert het openen van bestanden met veelgebruikte formaten zoals documenten of afbeeldingen door ze veilig te versleutelen.
Malware-onderzoekers blijven ook het optreden van deze aanvullende aanvallen in de Banhu Ransomware-infecties aangeven:
- Schaduwkopieën verwijderen (herstelpunten)
- De Windows Firewall uitschakelen
- Waarschuwingsberichten bij het opstarten onderdrukken
- Automatische reparatie van Windows uitschakelen
Het bereikt het meeste van het bovenstaande door middel van shell-commando's, in overeenstemming met het 'living-off-the-land'-minimalisme dat populair is onder moderne file-locker Trojaanse paarden.
De geluiden van criminele bedoelingen tegen bestanden tot zwijgen brengen
De Banhu Ransomware biedt een zeer standaard losgeldprocedure voor het herstellen van de bestanden van het slachtoffer door middel van HTA- en TXT-losgeldnotities en gerelateerde inloggegevens die het als extra extensies in bestanden invoegt. Gebruikers moeten voorzichtig blijven tijdens hun interactie met bedreigingsactoren, zelfs voor 'gratis' samples, wat een tactiek kan zijn voor verdere aanvallen op hun pc's. Betalen voor decodering zou het laatste redmiddel moeten zijn, en de meeste gebruikers zouden de juiste back-ups op andere apparaten moeten hebben voor gratis herstel.
Infectievectoren voor deze familie kunnen verschillen tussen dreigingsactoren. Beheerders moeten altijd sterke wachtwoorden gebruiken die de gebruikelijke brute-force aanvallen van black hat-tools weerstaan en zorgvuldig versiebeheer van software behouden om kwetsbaarheden zoals het uitvoeren van externe code te verwijderen. Meer persoonlijk moeten gebruikers het downloaden van e-mailbijlagen vermijden zonder hun veiligheid te verifiëren en het gebruik van risicovolle functies zoals macro's, Flash en JavaScript beperken. Onwettig gedrag van bestanden delen hangt ook sterk samen met de blootstelling aan deze bedreigingen.
Hoewel de versleuteling ervan onbreekbaar is voor derden, kunnen de meeste anti-malwareproducten de Banhu Ransomware en andere versies van de Phobos Ransomware-groep blokkeren en verwijderen.
Er is nooit een volledig veilige tijd om zelfs maar van de kleinste families van trojans met bestandsvergrendelingen af te kijken. Zoals Phobos Ransomware-nakomelingen zoals de Banhu Ransomware in het bedrijf blijven, heeft iedereen op Windows zonder back-ups redenen om bang te zijn.
