BACKJOHN Ransomware

Siber güvenlik araştırmacıları, BACKJOHN olarak izlenen yeni bir tehlikeli kötü amaçlı yazılım tehdidiyle karşılaştı. Fidye yazılımının verileri şifrelediği, tüm şifrelenmiş dosyaların dosya adlarını değiştirdiği ve 'info.hta' ve 'info.txt' dosyaları biçiminde iki fidye notu oluşturduğu gözlemlendi. BACKJOHN'nin kodu ve davranışı, tehdidin Phobos fidye yazılımı ailesinin bir parçası olduğunu gösteriyor.

Fidye yazılımının, ihlal edilen her cihaz için bir kurbanın kimliği oluşturduğu ve bunu tüm şifrelenmiş dosyaların adlarına eklediği gözlemlendi. Ayrıca BACKJOHN, orijinal dosya adlarına saldırganlara ait bir e-posta adresi ve '.BACKJOHN' uzantısı ekler. Örneğin, "1.doc"u "1.doc.id[9ECFA84E-3143].[backjohn131@gmail.com].BACKJOHN" olarak ve "2.jpg"yi "2.png.id[9ECFA84E-" olarak değiştirir. 3143].[backjohn131@gmail.com].BACKJOHN,' vb. BACKJOHN tarafından iletişim için kullanılan e-posta adresi 'backjohn131@gmail.com'dur.

BACKJOHN Ransomware Dosyaların Çoğunu Kullanılamaz Hale Getiriyor

BACKJOHN fidye yazılımı tarafından bırakılan fidye notu, kurbana saldırganla backjohn131@gmail.com e-posta adresinden iletişime geçmesi talimatını verir ve mesaj başlığında belirli bir kimlik bulunur. Saldırgan 24 saat içinde yanıt vermezse, kurban backjohn@tutanota.com adresine mesaj göndermesi için yönlendirilir.

Saldırgan, kurbanın dosyalarının şifresinin çözülmesi karşılığında, kurbanın saldırganla ne kadar hızlı iletişim kurduğuna bağlı olarak Bitcoin cinsinden ödeme talep eder. Ödemeden önce bir garanti olarak not, dosya boyutu ve türüyle ilgili kısıtlamalarla beş dosyaya kadar ücretsiz şifre çözme sunar.

Ek olarak not, kurbanı şifrelenmiş dosyaları yeniden adlandırmaya veya üçüncü taraf yazılımlarla şifre çözme girişiminde bulunmaya karşı uyarır, çünkü bu, kalıcı veri kaybına veya artan fidye maliyetlerine neden olabilir. Saldırgan, kurbanın uymaması durumunda sonuçlarıyla birlikte izlemesi için açık talimatlar oluşturmuştur.

Verilerinizi Fidye Yazılımı Tehditlerinden Korumak Çok Önemlidir

Kullanıcılar, cihazlarını ve verilerini fidye yazılımı saldırılarına karşı korumak için önleyici ve tepkisel önlemlerin bir kombinasyonunu uygulayabilir. Bu önlemler, farkındalık yaratmayı, önlem almayı ve potansiyel tehditlere yanıt vermeye hazırlıklı olmayı içerir.

Önleyici tedbirler, yazılımları ve işletim sistemlerini güncel tutmayı, virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımlarını kullanmayı ve dosya indirirken veya e-posta veya mesajlardaki bağlantılara tıklarken dikkatli olmayı içerir. Kullanıcılar ayrıca şüpheli ekleri veya bilinmeyen gönderenlerden gelen e-postaları açmaktan kaçınmalı ve mümkün olduğunda güçlü parolalar ve çok faktörlü kimlik doğrulama kullanmalıdır.

Önleyici tedbirlere ek olarak, kullanıcılar olası saldırılara yanıt vermeye de hazırlıklı olmalıdır. Bu, önemli verilerin düzenli olarak harici bir kaynağa yedeklenmesini ve işlevsel olduklarından emin olmak için yedekleme kurtarma süreçlerinin test edilmesini içerir. Kullanıcıların ayrıca fidye yazılımı saldırılarına yanıt vermek için, bir saldırı durumunda kiminle iletişime geçeceklerini ve hangi adımları atacaklarını bilmek de dahil olmak üzere bir planları olmalıdır.

Son olarak, aile, arkadaşlar ve iş arkadaşları arasında farkındalık yaratmak, fidye yazılımı saldırılarının yayılmasını önlemeye yardımcı olabilir. Fidye yazılımı saldırılarıyla ilişkili riskler ve bunların nasıl tanımlanıp bunlara yanıt verileceği konusunda başkalarını eğitmek, yalnızca bireysel cihazları ve verileri değil, tüm ağları ve sistemleri de korumada uzun bir yol kat edebilir.

BACKJOHN Ransomware'in fidye isteyen mesajının tam metni şöyle:

Tüm dosyalarınız şifrelendi!
PC'nizdeki bir güvenlik sorunu nedeniyle tüm dosyalarınız şifrelendi. Onları geri yüklemek istiyorsanız, bize e-posta backjohn131@gmail.com yazın
Bu kimliği mesajınızın başlığına yazın -
24 saat içinde yanıt alınamaması durumunda bize bu e-postaya yazın: backjohn@tutanota.com
Bitcoin'lerde şifre çözme için ödeme yapmanız gerekir. Fiyat, bize ne kadar hızlı yazdığınıza bağlıdır. Ödeme yapıldıktan sonra size tüm dosyalarınızın şifresini çözecek aracı göndereceğiz.
Garanti olarak ücretsiz şifre çözme
Ödeme yapmadan önce ücretsiz şifre çözme için bize 5 adede kadar dosya gönderebilirsiniz. Dosyaların toplam boyutu 4Mb'den (arşivlenmemiş) az olmalı ve dosyalar değerli bilgiler içermemelidir. (veritabanları, yedekler, büyük excel sayfaları vb.)
Bitcoin nasıl elde edilir
Bitcoin satın almanın en kolay yolu LocalBitcoins sitesidir. Kayıt olmanız, 'Bitcoin satın al' seçeneğini tıklamanız ve ödeme yöntemi ve fiyatına göre satıcıyı seçmeniz gerekir.
hxxps://localbitcoins.com/buy_bitcoins
Ayrıca Bitcoin satın alabileceğiniz diğer yerleri ve başlangıç kılavuzunu burada bulabilirsiniz:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Dikkat!
Şifrelenmiş dosyaları yeniden adlandırmayın.
Üçüncü taraf yazılımları kullanarak verilerinizin şifresini çözmeye çalışmayın, kalıcı veri kaybına neden olabilir.
Dosyalarınızın üçüncü şahısların yardımıyla şifresinin çözülmesi, fiyatın artmasına neden olabilir (ücretlerini bizim ücretimize eklerler) veya bir dolandırıcılığın kurbanı olabilirsiniz.

Tehdit tarafından bırakılan metin dosyası aşağıdaki mesajı içerir:

!!!Tüm dosyalarınız şifrelenmiştir!!!
Şifrelerini çözmek için şu adrese e-posta gönderin: backjohn131@gmail.com.
24 saat içinde cevap vermezsek, bu adrese e-posta gönderin: backjohn@tutanota.com