Bmo Ransomware

Het lijkt erop dat de Dharma Ransomware-familie nog steeds een bepaald deel van populariteit behoudt onder cybercriminele kringen. Infosec-onderzoekers hebben inderdaad een nieuwe krachtige Dharma- variant ontdekt die de computers van gebruikers bedreigt. De dreiging wordt gevolgd als de Bmo Ransomware en kan enorme schade aan de gecompromitteerde apparaten veroorzaken.

Door een onkraakbaar cryptografisch algoritme te gebruiken, kunnen de aanvallers de bestanden van het slachtoffer vergrendeleneffectief. Getroffen gebruikers die weer toegang willen krijgen tot hun kostbare persoonlijke of cruciale werkgerelateerde informatie, worden afgeperst om losgeld te betalen aan de aanvallers, in ruil voor het ontvangen van de benodigde decoderingssleutels.

Technische details

De Bmo-ransomware kan documenten, pdf's, archieven, databases, afbeeldingen, foto's, audio- en videobestanden en vele andere bestandsextensies versleutelen. Elk vergrendeld bestand wordt gemarkeerd door een belangrijke wijziging van de oorspronkelijke naam. Ten eerste voegt de Bmo Ransomware een specifieke ID-reeks toe die uniek is voor elk slachtoffer. Vervolgens bevat de dreiging een e-mailadres (buymeout@onionmail.org) dat wordt beheerd door de operators. Ten slotte wordt '.bmo' toegevoegd als een nieuwe bestandsextensie. Nadat alle gerichte bestanden op het systeem zijn vergrendeld, gaat de malware verder met het maken van twee losgeldnota's. De ene wordt in tekstbestanden met de naam 'info.txt' geplaatst, terwijl de andere als een pop-upvenster aan het slachtoffer wordt gepresenteerd.

Overzicht van losgeldnota's

Het bericht in het tekstbestand is extreem kort en bevat geen betekenisvolle details. Het dringt er bij de slachtoffers van Bmo Ransomware op aan om contact op te nemen met de aanvallers via de 'buymeout@onionmail.org' en 'buymeout@msgsafe.io' e-mails. De daadwerkelijke instructies van de aanvallers worden weergegeven in het pop-upvenster. De losgeldbrief daar verduidelijkt dat de secundaire e-mail moet worden gebruikt voor het geval slachtoffers geen antwoord ontvangen binnen 12 uur nadat ze de hoofde-mail hebben gemaild. De tweede helft van de nota bevat talrijke waarschuwingen.

Het bericht dat via het 'info.txt'-bestand wordt afgeleverd, is:

' al je gegevens zijn bij ons vergrendeld
Wil je terugkeren?
schrijf een e-mail buymeout@onionmail.org of buymeout@msgsafe.io '

De instructies in het pop-upvenster zijn:

UW BESTANDEN ZIJN VERSLEUTELD

' 1024
Maak je geen zorgen, je kunt al je bestanden teruggeven!
Als je ze wilt herstellen, schrijf dan naar de mail: buymeout@onionmail.org UW ID -
Als je niet binnen 12 uur per post hebt geantwoord, schrijf ons dan via een andere mail:buymeout@msgsafe.io

AANDACHT!
We raden u aan rechtstreeks contact met ons op te nemen om te voorkomen dat agenten te veel betalen

Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te ontsleutelen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij. '