Bulwark Ransomware

Bulwark Ransomware wykonuje procedurę szyfrowania na zainfekowanych komputerach. W rezultacie dane, których to dotyczy, nie będą już dostępne ani użyteczne w żaden sposób. Jeśli chodzi o ataki ransomware, zablokowane pliki bardzo rzadko mogą zostać przywrócone bez płacenia atakującym za prawidłowe klucze odszyfrowywania. Mimo że potwierdzono, że Bulwark Ransomware jest wariantem z rodziny złośliwego oprogramowania MedusaLocker , nie należy lekceważyć jego zdolności do powodowania szkód.

Gdy zagrożenie zostanie w pełni aktywowane na złamanych urządzeniach, zaatakuje przechowywane tam dokumenty, archiwa, bazy danych, pliki PDF, zdjęcia i inne typy plików. Każdy plik, którego dotyczy problem, będzie miał dodany do oryginalnej nazwy „.bulwark7”. Należy zauważyć, że liczba w nowym rozszerzeniu pliku będzie się różnić w zależności od konkretnego wariantu Bulwark Ransomware. Po przetworzeniu wszystkich docelowych typów plików zagrożenie utworzy plik o nazwie „!-Recovery_Instructions-!.html” na pulpicie urządzenia.

Długa notatka dotycząca okupu dostarczona za pośrednictwem tego pliku ujawnia, że operatorzy Bulwark Ransomware są zainteresowani głównie infekowaniem podmiotów korporacyjnych. Ponadto wydaje się, że hakerzy stosują schemat podwójnego wymuszenia, zbierając poufne dane przed rozpoczęciem procedury szyfrowania zagrożenia. Eksfiltrowane pliki są przechowywane na serwerze kontrolowanym przez cyberprzestępców i zostaną ujawnione publicznie lub sprzedane w ciemnej sieci zainteresowanym stronom w przypadkach, gdy ofiary odmówią zapłacenia żądanego okupu.

W notatce wymieniono dwa adresy e-mail, jako sposób na skontaktowanie się z cyberprzestępcami — „ithelp09@wholeness.business” oraz „ithelp09@decorous.cyou”. Ofiarom mówi się, że do ich wiadomości można dołączyć maksymalnie 3 pliki, które można bezpłatnie odszyfrować. Wybrane pliki nie mogą jednak przekraczać 5 MB.

Pełny tekst noty okupu pozostawionej przez Bulwark Ransomware to:

„Jeśli otrzymasz tę wiadomość, twoja sieć została zhakowana!
Po uzyskaniu pełnego dostępu do Twoich serwerów najpierw pobraliśmy dużą ilość wrażliwych danych, a następnie zaszyfrowaliśmy wszystkie dane na nich przechowywane.

Obejmuje to dane osobowe klientów, partnerów, personel, dokumenty księgowe i inne kluczowe pliki, które są niezbędne do normalnej pracy Twojej firmy.

Użyliśmy nowoczesnych, skomplikowanych algorytmów, więc ani Ty, ani żadna firma zajmująca się odzyskiwaniem nie będziecie w stanie odszyfrować plików bez naszej pomocy, marnowanie czasu na te próby zamiast na negocjacje może być fatalne dla Twojej firmy.

Upewnij się, że działasz w ciągu 72 godzin, w przeciwnym razie negocjacje zostaną uznane za nieudane!

Poinformuj przełożonego o tym, co się dzieje.

Skontaktuj się z nami w sprawie ceny i uzyskaj oprogramowanie deszyfrujące.

Skontaktuj się z nami przez e-mail:

ithelp09@wholeness.business
Jeśli nie otrzymasz odpowiedzi w ciągu 24 godzin, skontaktuj się z nami, wysyłając alternatywne adresy e-mail:
ithelp09@decorous.cyou
Aby zweryfikować możliwość odzyskania Twoich plików możemy odszyfrować 1-3 pliki za darmo.
Załącz plik do listu (nie więcej niż 5Mb).
Jeśli Tobie i nam uda się negocjacje, zapewnimy Ci:
pełna poufność, wszelkie informacje dotyczące ataku zachowamy w tajemnicy, Twoja firma będzie zachowywać się tak, jakby nic się nie stało.
wyczerpujące informacje o lukach w Twojej sieci i raport o zabezpieczeniach.
oprogramowanie i instrukcje do odszyfrowania wszystkich zaszyfrowanych danych.
wszystkie poufne pobrane dane zostaną trwale usunięte z naszej pamięci w chmurze, a my udostępnimy dziennik wymazywania.
Nasze opcje, jeśli zachowujesz się tak, jakby nic się nie działo, odmawiasz zawarcia umowy lub nie udaje się negocjacje:
poinformuj media i niezależnych dziennikarzy o tym, co stało się z Twoimi serwerami. Aby to udowodnić, opublikujemy porcję prywatnych danych, które powinieneś zaszyfrować, jeśli zależy Ci na potencjalnych naruszeniach. Co więcej, Twoja firma nieuchronnie poniesie przyzwoitą utratę reputacji, którą trudno dokładnie oszacować.
poinformuj swoich klientów, pracowników, partnerów telefonicznie, e-mailem, smsem i portalami społecznościowymi, że nie zapobiegłeś wyciekowi danych. Naruszysz przepisy dotyczące ochrony danych osobowych.
rozpocznij atak DDOS na Twoją witrynę internetową i infrastrukturę.
przechowywane dane osobowe zostaną wystawione na sprzedaż w Darknet, aby znaleźć wszystkich zainteresowanych zakupem przydatnych informacji dotyczących Twojej firmy. Mogą to być agencje eksploracji danych lub konkurenci rynkowi.
opublikuj wszystkie wykryte luki znalezione w Twojej sieci, aby każdy cokolwiek z nimi zrobił.
Po co nam płacić?
Dbamy o naszą reputację. Zachęcamy do przejrzenia naszych przypadków w Google i upewnienia się, że nie mamy ani jednego przypadku niewykonania tego, co obiecaliśmy.

Przekształcenie tego problemu w bug bounty uratuje twoje prywatne informacje, reputację i pozwoli ci skorzystać z raportu bezpieczeństwa i uniknąć tego rodzaju sytuacji w przyszłości.

Twój dowód osobisty”