BACKJOHN Ransomware

Analitycy cyberbezpieczeństwa natknęli się na nowe niebezpieczne zagrożenie złośliwym oprogramowaniem śledzone jako BACKJOHN. Zaobserwowano, że ransomware szyfruje dane, modyfikuje nazwy wszystkich zaszyfrowanych plików i tworzy dwa żądania okupu w postaci plików „info.hta” i „info.txt”. Kod i zachowanie BACKJOHN wskazuje, że zagrożenie jest częścią rodziny ransomware Phobos.

Zaobserwowano, że ransomware tworzy identyfikator ofiary dla każdego zaatakowanego urządzenia i dołącza go do nazw wszystkich zaszyfrowanych plików. Ponadto BACKJOHN dodaje adres e-mail należący do atakujących oraz rozszerzenie „.BACKJOHN” do oryginalnych nazw plików. Na przykład zmienia „1.doc” na „1.doc.id[9ECFA84E-3143].[backjohn131@gmail.com].BACKJOHN”, a „2.jpg” na „2.png.id[9ECFA84E- 3143].[backjohn131@gmail.com].BACKJOHN” i tak dalej. Adres e-mail używany przez firmę BACKJOHN do komunikacji to „backjohn131@gmail.com”.

Ransomware BACKJOHN sprawia, że większość plików jest bezużyteczna

Żądanie okupu pozostawione przez ransomware BACKJOHN instruuje ofiarę, aby skontaktowała się z atakującym pod adresem e-mail backjohn131@gmail.com, podając określony identyfikator w tytule wiadomości. Jeśli atakujący nie odpowie w ciągu 24 godzin, ofiara jest kierowana do wysłania wiadomości na adres backjohn@tutanota.com.

Atakujący żąda zapłaty w bitcoinach w zamian za odszyfrowanie plików ofiary, której wysokość zależy od tego, jak szybko ofiara skontaktuje się z atakującym. Jako gwarancję przed dokonaniem płatności notatka oferuje bezpłatne odszyfrowanie do pięciu plików, z ograniczeniami dotyczącymi rozmiaru i typu pliku.

Dodatkowo notatka ostrzega ofiarę przed zmianą nazwy zaszyfrowanych plików lub próbą odszyfrowania za pomocą oprogramowania innych firm, ponieważ może to spowodować trwałą utratę danych lub zwiększenie kosztów okupu. Atakujący przygotował jasne instrukcje dla ofiary, które mają postępować, wraz z konsekwencjami nieprzestrzegania.

Ochrona danych przed zagrożeniami ransomware ma kluczowe znaczenie

Aby zabezpieczyć swoje urządzenia i dane przed atakami ransomware, użytkownicy mogą wdrożyć kombinację środków zapobiegawczych i reaktywnych. Środki te obejmują podnoszenie świadomości, podejmowanie środków ostrożności i gotowość do reagowania na potencjalne zagrożenia.

Środki zapobiegawcze obejmują aktualizowanie oprogramowania i systemów operacyjnych, używanie oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem oraz zachowanie ostrożności podczas pobierania plików lub klikania łączy w wiadomościach e-mail lub wiadomościach. Użytkownicy powinni również unikać otwierania podejrzanych załączników lub wiadomości e-mail od nieznanych nadawców i powinni używać silnych haseł i uwierzytelniania wieloskładnikowego, jeśli jest dostępne.

Oprócz środków zapobiegawczych, użytkownicy powinni być również przygotowani na reagowanie na potencjalne ataki. Obejmuje to regularne tworzenie kopii zapasowych ważnych danych w zewnętrznym źródle i testowanie procesów odzyskiwania kopii zapasowych, aby upewnić się, że działają. Użytkownicy powinni również mieć plan reagowania na ataki ransomware, w tym wiedzieć, z kim się skontaktować i jakie kroki podjąć w przypadku ataku.

Wreszcie, podnoszenie świadomości wśród rodziny, przyjaciół i współpracowników może pomóc w zapobieganiu rozprzestrzenianiu się ataków ransomware. Edukowanie innych na temat zagrożeń związanych z atakami ransomware oraz sposobów ich identyfikowania i reagowania na nie może w znacznym stopniu przyczynić się do ochrony nie tylko poszczególnych urządzeń i danych, ale także całych sieci i systemów.

Pełny tekst żądającej okupu wiadomości BACKJOHN Ransomware to:

Wszystkie twoje pliki zostały zaszyfrowane!
Wszystkie twoje pliki zostały zaszyfrowane z powodu problemu z bezpieczeństwem twojego komputera. Jeśli chcesz je przywrócić, napisz do nas na adres e-mail backjohn131@gmail.com
Wpisz ten identyfikator w tytule wiadomości -
W przypadku braku odpowiedzi w ciągu 24 godzin napisz do nas na ten e-mail: backjohn@tutanota.com
Za odszyfrowanie trzeba zapłacić w bitcoinach. Cena zależy od tego, jak szybko do nas napiszesz. Po dokonaniu płatności wyślemy Ci narzędzie, które odszyfruje wszystkie Twoje pliki.
Bezpłatne odszyfrowywanie jako gwarancja
Przed dokonaniem płatności możesz przesłać nam do 5 plików do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 4 MB (niearchiwizowane), a pliki nie powinny zawierać wartościowych informacji. (bazy danych, kopie zapasowe, duże arkusze Excela itp.)
Jak zdobyć Bitcoiny
Najprostszym sposobem na zakup bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz także znaleźć inne miejsca do kupowania Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie twoich plików z pomocą osób trzecich może spowodować wzrost ceny (doliczą oni swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

Plik tekstowy usunięty przez zagrożenie zawiera następującą wiadomość:

!!!Wszystkie twoje pliki są zaszyfrowane!!!
Aby je odszyfrować, wyślij wiadomość e-mail na adres: backjohn131@gmail.com.
Jeśli nie odpowiemy w ciągu 24h, wyślij e-mail na adres: backjohn@tutanota.com