Програма-вимагач BackMyData

BackMyData — це програма-вимагач, яка привернула увагу дослідників кібербезпеки. Згідно з їх детальним аналізом, ця загроза демонструє здатність робити різноманітні типи файлів повністю недоступними завдяки використанню надійних алгоритмів шифрування. Вплив поширюється не тільки на шифрування, оскільки оригінальні назви файлів, які постраждали, зазнають істотних змін. Загроза додає ідентифікатор жертви, адресу електронної пошти ('backmydata@skiff.com') і розширення '.backmydata' до імені кожного зміненого файлу. Це призводить до характерного перетворення, прикладом якого є зміни, такі як «1.png» стає «1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata», а «2.pdf» перетворюється на «2». .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata, серед інших.

Жертви BackMyData стикаються з двома повідомленнями про викуп, представленими у формі файлів «info.hta» та «info.txt». Ці нотатки слугують каналом зв’язку між зловмисниками та жертвами, в якому викладаються вимоги викупу та інструкції щодо можливої оплати. Примітно, що загроза визначена як варіант із сімейства Phobos Ransomware , підкреслюючи її зв’язок із ширшою категорією загрозливого програмного забезпечення.

Жертви BackMyData отримують свої файли в заручниках кіберзлочинцями

Записка про викуп, надіслана BackMyData, служить сповіщенням для жертв, у якому чітко вказано, що їхня мережа була зламана, а файли зашифровані. Він також розкриває використання тактики подвійного вимагання кіберзлочинцями, стверджуючи, що було зібрано конфіденційні дані, що включають інформацію про співробітників, клієнтів, партнерів і внутрішню документацію компанії. У примітці чітко повідомляється, що всі вкрадені дані зберігатимуться, доки не буде сплачено вимаганий викуп.

Крім того, у записці міститься ультиматум, погрожуючи продати скомпрометовані дані, якщо переговори проваляться. У ньому описано потенційні наслідки для жертви, включаючи правові наслідки, фінансові втрати та непоправну шкоду її репутації після оприлюднення даних.

У стратегічній спробі змусити підкоритися, зловмисники пропонують знижений викуп, якщо жертва зв’яжеться з ними протягом визначеного періоду часу. Надаються інструкції щодо зв’язку із зазначенням використання певної платформи обміну повідомленнями (сеанс) та адреси електронної пошти (backmydata@skiff.com).

Крім того, повідомлення про викуп містить суворі вказівки для жертви, щоб запобігти ненавмисному пошкодженню зашифрованих файлів. Він чітко застерігає від залучення третіх сторін або використання несанкціонованого програмного забезпечення для дешифрування, наголошуючи на необхідності відповідності.

Окрім шифрування файлів, BackMyData посилює загрозу, вимикаючи брандмауер у цільовій системі, підвищуючи її вразливість до зловмисних дій. Він навмисно стирає тіньові копії томів, усуваючи потенційні точки відновлення. Крім того, BackMyData має можливість отримувати дані про місцезнаходження та використовує механізми збереження даних. Загрозу також можна налаштувати, щоб виключити заздалегідь визначені місця з її досяжності.

Важливо підкреслити, що варіанти програм-вимагачів у сімействі Phobos, включаючи BackMyData, продемонстрували тенденцію використовувати вразливості в службах протоколу віддаленого робочого столу (RDP) для зараження. Вони часто використовують слабкі облікові дані облікового запису за допомогою грубої сили та словникових атак, отримуючи таким чином несанкціонований доступ до систем із неналежним чином керованим захистом облікового запису. Це підкреслює необхідність посилення заходів кібербезпеки та пильності для протидії таким складним загрозам.

Надійний підхід до безпеки може запобігти загрозам програм-вимагачів від впливу на пристрої користувачів

Захист пристроїв від атак програм-вимагачів передбачає поєднання профілактичних заходів, передових практик кібербезпеки та пильності. Ось кілька основних рекомендацій користувачам щодо захисту своїх пристроїв:

• Оновлюйте програмне забезпечення та системи : регулярно оновлюйте операційні системи, програмні додатки та програми безпеки, щоб виправити вразливості та захистити від відомих експлойтів.
• Використовуйте надійне програмне забезпечення безпеки : встановіть на пристрої перевірене програмне забезпечення для захисту від шкідливих програм, щоб виявляти та запобігати зараженню програмами-вимагачами. Оновлюйте програмне забезпечення безпеки для отримання останніх визначень загроз.
• Увімкнути захист брандмауером : активуйте та підтримуйте надійний брандмауер для спостереження за вхідним і вихідним мережевим трафіком, додаючи додатковий рівень захисту від несанкціонованого доступу.
• Резервне копіювання важливих даних : Регулярно створюйте резервні копії важливих даних на зовнішній автономний пристрій зберігання даних. Хмарні рішення для резервного копіювання також можуть ефективно забезпечити належний контроль доступу та процедури безпеки.
• Будьте пильні з вкладеннями та посиланнями електронної пошти : будьте особливо пильними, відкриваючи вкладення електронної пошти або посилання, особливо з невідомих або підозрілих джерел. Перевіряйте законність електронних листів і уникайте завантаження файлів із ненадійних листів.
• Використовуйте надійні унікальні паролі : використовуйте надійні та ексклюзивні паролі для своїх облікових записів і подумайте про переваги використання менеджера паролів, щоб допомогти створювати та керувати складними паролями. Уникайте використання типових паролів або паролів, які легко вгадати.
• Запровадити сегментацію мережі : сегментація мереж може допомогти стримати поширення програм-вимагачів, обмежуючи їх здатність переміщатися всередині мережі. Це обмежує вплив, якщо один сегмент стає скомпрометованим.

Комбінуючи ці заходи, користувачі можуть значно посилити свій захист від атак програм-вимагачів і мінімізувати потенційний вплив на свої пристрої та дані.

Записка про викуп, згенерована програмою-вимагачем BackMyData:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'