BACKJOHN Ransomware

Cercetătorii în domeniul securității cibernetice au dat peste o nouă amenințare periculoasă de malware, urmărită ca BACKJOHN. S-a observat că ransomware-ul criptează datele, modifică numele fișierelor tuturor fișierelor criptate și creează două note de răscumpărare sub forma fișierelor „info.hta” și „info.txt”. Codul și comportamentul lui BACKJOHN indică faptul că amenințarea face parte din familia de ransomware Phobos.

Se observă că ransomware-ul creează un ID al victimei pentru fiecare dispozitiv încălcat și îl atașează la numele tuturor fișierelor criptate. În plus, BACKJOHN adaugă o adresă de e-mail aparținând atacatorilor și o extensie „.BACKJOHN” la numele fișierelor originale. De exemplu, se schimbă „1.doc” în „1.doc.id[9ECFA84E-3143].[backjohn131@gmail.com].BACKJOHN”, iar „2.jpg” în „2.png.id[9ECFA84E- 3143].[backjohn131@gmail.com].BACKJOHN,' și așa mai departe. Adresa de e-mail folosită de BACKJOHN pentru comunicare este „backjohn131@gmail.com”.

BACKJOHN Ransomware face ca majoritatea fișierelor să fie inutilizabile

Nota de răscumpărare lăsată de ransomware-ul BACKJOHN instruiește victima să contacteze atacatorul la adresa de e-mail backjohn131@gmail.com, cu un ID specific inclus în titlul mesajului. Dacă atacatorul nu răspunde în 24 de ore, victima este direcționată să trimită un mesaj la backjohn@tutanota.com.

Atacatorul cere plata în Bitcoins în schimbul decriptării fișierelor victimei, suma depinzând de cât de repede victima contactează atacatorul. Ca garanție înainte de plată, nota oferă decriptarea gratuită a până la cinci fișiere, cu restricții privind dimensiunea și tipul fișierului.

În plus, nota avertizează victima să nu redenumească fișierele criptate sau să încerce decriptarea cu software terță parte, deoarece acest lucru poate duce la pierderea permanentă a datelor sau la creșterea costurilor de răscumpărare. Atacatorul a stabilit instrucțiuni clare pe care să le urmeze victima, cu consecințe pentru nerespectare.

Protejarea datelor de amenințările ransomware este crucială

Pentru a-și proteja dispozitivele și datele de atacurile ransomware, utilizatorii pot implementa o combinație de măsuri preventive și reactive. Aceste măsuri implică creșterea gradului de conștientizare, luarea de măsuri de precauție și pregătirea pentru a răspunde potențialelor amenințări.

Măsurile preventive includ menținerea actualizate a software-ului și a sistemelor de operare, utilizarea software-ului antivirus și anti-malware și a fi precaut atunci când descărcați fișiere sau faceți clic pe linkuri din e-mailuri sau mesaje. Utilizatorii ar trebui, de asemenea, să evite deschiderea de atașamente sau e-mailuri suspecte de la expeditori necunoscuți și ar trebui să utilizeze parole puternice și autentificare cu mai mulți factori atunci când sunt disponibile.

Pe lângă măsurile preventive, utilizatorii ar trebui să fie pregătiți să răspundă eventualelor atacuri. Aceasta implică efectuarea periodică de copii de rezervă a datelor importante într-o sursă externă și testarea proceselor de recuperare a backupului pentru a se asigura că sunt funcționale. Utilizatorii ar trebui să aibă, de asemenea, un plan pentru a răspunde la atacurile ransomware, inclusiv să știe pe cine să contacteze și ce pași să ia în cazul unui atac.

În cele din urmă, creșterea gradului de conștientizare a familiei, prietenilor și colegilor de muncă poate ajuta la prevenirea răspândirii atacurilor ransomware. Educarea celorlalți despre riscurile asociate cu atacurile ransomware și despre modul de identificare și răspuns la acestea poate contribui în mare măsură la protejarea nu numai a dispozitivelor și datelor individuale, ci și a rețelelor și sistemelor întregi.

Textul complet al mesajului BACKJOHN Ransomware care solicită răscumpărare este:

Toate fișierele dvs. au fost criptate!
Toate fișierele dvs. au fost criptate din cauza unei probleme de securitate la computer. Dacă doriți să le restaurați, scrieți-ne la e-mail backjohn131@gmail.com
Scrieți acest ID în titlul mesajului dvs. -
În caz de lipsă de răspuns în 24 de ore, scrieți-ne la acest e-mail: backjohn@tutanota.com
Trebuie să plătiți pentru decriptare în Bitcoins. Pretul depinde de cat de repede ne scrieti. După plată, vă vom trimite instrumentul care vă va decripta toate fișierele.
Decriptare gratuită ca garanție
Înainte de a plăti, ne puteți trimite până la 5 fișiere pentru decriptare gratuită. Dimensiunea totală a fișierelor trebuie să fie mai mică de 4 Mb (nearhivate), iar fișierele nu trebuie să conțină informații valoroase. (baze de date, copii de rezervă, foi Excel mari etc.)
Cum să obțineți Bitcoins
Cel mai simplu mod de a cumpăra bitcoini este site-ul LocalBitcoins. Trebuie să vă înregistrați, să faceți clic pe „Cumpărați bitcoins” și să selectați vânzătorul după metoda de plată și preț.
hxxps://localbitcoins.com/buy_bitcoins
De asemenea, puteți găsi și alte locuri pentru a cumpăra Bitcoins și ghid pentru începători aici:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Atenţie!
Nu redenumiți fișierele criptate.
Nu încercați să vă decriptați datele utilizând software terță parte, poate cauza pierderea permanentă a datelor.
Decriptarea fișierelor dvs. cu ajutorul unor terțe părți poate determina creșterea prețului (aceștia își adaugă taxa la noi) sau puteți deveni victima unei escrocherii.

Fișierul text aruncat de amenințare conține următorul mesaj:

!!!Toate fișierele tale sunt criptate!!!
Pentru a le decripta trimiteți e-mail la această adresă: backjohn131@gmail.com.
Dacă nu răspundem în 24 de ore, trimiteți e-mail la această adresă: backjohn@tutanota.com