Boost ransomware

Os pesquisadores de segurança cibernética identificaram uma nova ameaça de malware conhecida como Boost Ransomware. Depois que esse ransomware infecta um dispositivo, ele começa a criptografar uma ampla variedade de tipos de arquivos e a alterar seus nomes de arquivos originais. As vítimas recebem duas notas de resgate: uma exibida em uma janela pop-up e outra em um arquivo de texto chamado 'FILES ENCRYPTED.txt'.

O Boost Ransomware altera os nomes dos arquivos anexando um ID específico da vítima, o endereço de e-mail 'boston.crypt@tuta.io' e a extensão '.boost'. Por exemplo, um arquivo chamado '1.png' é renomeado para '1.png.id-9ECFA74E.[boston.crypt@tuta.io].boost' e '2.pdf' é renomeado para '2.pdf. id-9ECFA74E.[boston.crypt@tuta.io].boost.' Os pesquisadores determinaram que o Boost Ransomware é uma variante da família Dharma Ransomware.

O Boost Ransomware Busca Extorquir Suas Vítimas

A nota de resgate do Boost Ransomware avisa os usuários de PC que seus arquivos foram criptografados devido a um problema de segurança em seu PC. Para recuperar os seus ficheiros, as vítimas são instruídas a enviar um e-mail para 'boston.crypt@tuta.io' e incluir o ID fornecido. A nota especifica que o resgate deve ser pago em Bitcoins, sendo que o valor depende da rapidez com que a vítima entra em contato com os invasores. Também alerta contra renomear ficheiros encriptados ou usar software de desencriptação de terceiros, pois essas ações podem resultar na perda permanente de dados ou em taxas de desencriptação mais elevadas.

Variantes de ransomware da família Dharma, incluindo Boost, normalmente criptografam arquivos locais e compartilhados em rede, desativam o firewall e excluem as Shadow Volume Copies para evitar a recuperação de arquivos. Eles geralmente se espalham por meio de serviços vulneráveis do Remote Desktop Protocol (RDP).

Essas variantes de ransomware mantêm persistência copiando-se para caminhos de sistema específicos e registrando essas cópias com determinadas chaves Run no registro do Windows. Eles também coletam dados de localização e podem excluir locais predeterminados da criptografia.

O ransomware funciona bloqueando o acesso aos arquivos por meio de criptografia até que um resgate, geralmente em criptomoeda, seja pago. As vítimas recebem instruções detalhadas sobre como pagar para recuperar o acesso aos seus arquivos. No entanto, pagar o resgate não é garantia de que o acesso será restaurado.

É Crucial Adotar uma Abordagem de Segurança Abrangente contra Ameaças de Malware e Ransomware

A adoção de uma abordagem de segurança abrangente contra ameaças de malware e ransomware envolve múltiplas camadas de proteção e medidas proativas. Aqui está um guia detalhado sobre como os usuários podem se proteger:

• Implemente segurança robusta de endpoint: Software antimalware: Instale soluções antimalware confiáveis que fornecem proteção em tempo real e atualizam regularmente seus bancos de dados de ameaças. Firewalls: Utilize firewalls de hardware e software para monitorar e controlar o tráfego de rede.

• Atualizações regulares de software e gerenciamento de patches: Sistemas operacionais: mantenha seu sistema operacional atualizado com os patches de segurança mais recentes. Aplicativos: certifique-se de que todos os aplicativos de software sejam atualizados regularmente, incluindo navegadores da web, plug-ins e qualquer software de terceiros. Firmware: atualize o firmware de roteadores e outros dispositivos de rede para proteção contra vulnerabilidades.

• Plano de backup e recuperação de dados: Backups regulares: execute backups regulares de dados importantes e garanta que os backups sejam armazenados em vários locais, incluindo armazenamento offline ou baseado em nuvem. Testar restaurações: teste periodicamente as restaurações de backup para manter a integridade dos dados e a recuperação rápida em caso de infecção.

• Medidas de segurança de rede: Segmente redes: segmente sua rede para limitar a propagação de malware e ransomware em diferentes partes da sua organização. Acesso remoto seguro: implemente medidas de segurança robustas para acesso remoto, como VPNs, autenticação multifator (MFA) e configurações RDP seguras.

• Educação e conscientização do usuário: Programas de treinamento: conduza sessões regulares de treinamento em segurança cibernética para educar os usuários na identificação de e-mails de phishing, links suspeitos e outros vetores de ataque comuns. Ataques simulados: use ataques de phishing simulados para testar e melhorar a conscientização do usuário e a resposta a possíveis ameaças.

• Segurança de e-mail e web: Filtros de spam: Use filtros de spam avançados para detectar e bloquear Filtragem de URL: Implemente a filtragem de URL para bloquear o acesso a sites maliciosos conhecidos.

• Gateways de e-mail seguros: Utilize gateways de e-mail seguros para verificar se há ameaças em e-mails recebidos e enviados.

• Controles de acesso e gerenciamento de privilégios : Princípio do menor privilégio: Implemente o princípio do menor privilégio, garantindo que os usuários tenham o menor acesso necessário para executar suas funções de trabalho. Gerenciamento de contas: revise e atualize regularmente contas e permissões de usuários, removendo o acesso de funcionários inativos ou ex-funcionários.

• Lista de permissões e lista negra de aplicativos: Lista de permissões: permita que apenas aplicativos aprovados sejam executados em seus sistemas. Lista negra: bloqueie aplicativos e executáveis maliciosos conhecidos.

Ao implementar essas medidas de segurança abrangentes, os usuários podem reduzir significativamente o risco de ataques de malware e ransomware e garantir que estejam preparados para responder de forma eficaz caso ocorra um incidente.

A nota de resgate gerada pelo Boost Ransomware como uma janela pop-up diz:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail boston.crypt@tuta.io
Write this ID in the title of your message -
In case of no answer in 24 hours write us to theese e-mails:boston.crypt@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by Boost Ransomware delivers the following message:

all your data has been locked us

You want to return?

write email boston.crypt@tuta.io'

SpyHunter detecta e remove Boost ransomware