BackMyData Ransomware

BackMyData là một mối đe dọa ransomware đã thu hút sự chú ý của các nhà nghiên cứu an ninh mạng. Theo phân tích chi tiết của họ, mối đe dọa này thể hiện khả năng khiến nhiều loại tệp khác nhau hoàn toàn không thể truy cập được thông qua việc sử dụng các thuật toán mã hóa mạnh mẽ. Tác động này vượt ra ngoài phạm vi mã hóa, vì tên tệp gốc của các tệp bị ảnh hưởng phải trải qua những sửa đổi đáng kể. Mối đe dọa gắn thêm ID của nạn nhân, địa chỉ email ('backmydata@skiff.com') và phần mở rộng '.backmydata' vào tên của mỗi tệp bị thay đổi. Điều này dẫn đến một sự chuyển đổi đặc biệt, được minh họa bằng những thay đổi như '1.png' trở thành '1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata' và '2.pdf' chuyển đổi thành '2 .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata,' trong số những thứ khác.

Nạn nhân của BackMyData phải đối mặt với hai thông báo đòi tiền chuộc được trình bày dưới dạng tệp 'info.hta' và 'info.txt'. Những ghi chú này đóng vai trò như một kênh liên lạc giữa những kẻ tấn công và nạn nhân, nêu rõ các yêu cầu về tiền chuộc và hướng dẫn thanh toán có thể xảy ra. Đáng chú ý, mối đe dọa này được xác định là một biến thể trong họ Phobos Ransomware , nhấn mạnh mối liên hệ của nó với một danh mục phần mềm đe dọa rộng hơn.

Các nạn nhân của BackMyData bị tội phạm mạng bắt các tập tin của họ làm con tin

Thông báo đòi tiền chuộc do BackMyData đưa ra đóng vai trò như một thông báo cho nạn nhân, nêu rõ rằng mạng của họ đã bị xâm phạm và các tệp bị mã hóa. Nó cũng tiết lộ việc tội phạm mạng sử dụng chiến thuật tống tiền kép bằng cách tuyên bố rằng dữ liệu bí mật đã được thu thập, bao gồm thông tin liên quan đến nhân viên, khách hàng, đối tác và tài liệu nội bộ của công ty. Ghi chú thông báo rõ ràng rằng tất cả dữ liệu bị đánh cắp sẽ được giữ lại cho đến khi khoản tiền chuộc theo yêu cầu được trả.

Hơn nữa, ghi chú đưa ra tối hậu thư, đe dọa sẽ bán dữ liệu bị xâm phạm nếu đàm phán thất bại. Nó vạch ra những hậu quả tiềm ẩn đối với nạn nhân, bao gồm hậu quả pháp lý, tổn thất tài chính và thiệt hại không thể khắc phục đối với danh tiếng của họ khi phát hành dữ liệu.

Trong một nỗ lực chiến lược nhằm ép buộc tuân thủ, những kẻ tấn công đề xuất một khoản tiền chuộc chiết khấu nếu nạn nhân liên hệ với chúng trong một khung thời gian xác định. Hướng dẫn liên lạc được cung cấp, cho biết việc sử dụng nền tảng nhắn tin cụ thể (Phiên) và địa chỉ email (backmydata@skiff.com).

Ngoài ra, thông báo đòi tiền chuộc còn đưa ra các hướng dẫn nghiêm ngặt để nạn nhân tuân theo nhằm ngăn chặn việc vô tình làm hỏng các tệp được mã hóa. Nó cảnh báo rõ ràng việc liên quan đến bên thứ ba hoặc sử dụng phần mềm giải mã trái phép, nhấn mạnh sự cần thiết phải tuân thủ.

Ngoài việc mã hóa tệp, BackMyData còn làm trầm trọng thêm mối đe dọa bằng cách vô hiệu hóa tường lửa trên hệ thống được nhắm mục tiêu, làm tăng tính nhạy cảm của nó trước các hoạt động độc hại. Nó cố tình xóa các Bản sao Khối lượng Bóng tối, loại bỏ các điểm khôi phục tiềm năng. Hơn nữa, BackMyData còn có khả năng trích xuất dữ liệu vị trí và sử dụng các cơ chế lưu giữ lâu dài. Mối đe dọa cũng có thể được cấu hình để loại trừ các vị trí được xác định trước khỏi tầm với của nó.

Điều quan trọng cần nhấn mạnh là các biến thể ransomware trong họ Phobos, bao gồm BackMyData, đã thể hiện xu hướng khai thác các lỗ hổng trong dịch vụ Giao thức máy tính từ xa (RDP) để lây nhiễm. Chúng thường lợi dụng thông tin xác thực tài khoản yếu thông qua các cuộc tấn công từ điển và vũ phu, từ đó giành được quyền truy cập trái phép vào các hệ thống có bảo mật tài khoản được quản lý không đầy đủ. Điều này nhấn mạnh sự cần thiết phải tăng cường các biện pháp an ninh mạng và cảnh giác để chống lại các mối đe dọa tinh vi như vậy.

Phương pháp bảo mật mạnh mẽ có thể ngăn chặn các mối đe dọa ransomware ảnh hưởng đến thiết bị của người dùng

Bảo vệ thiết bị khỏi các cuộc tấn công của ransomware bao gồm sự kết hợp của các biện pháp chủ động, các biện pháp thực hành tốt nhất về an ninh mạng và sự cảnh giác. Dưới đây là một số khuyến nghị chính để người dùng bảo vệ thiết bị của mình:

• Luôn cập nhật phần mềm và hệ thống : Thường xuyên cập nhật hệ điều hành, ứng dụng phần mềm và chương trình bảo mật để vá các lỗ hổng và bảo vệ khỏi các hoạt động khai thác đã biết.
• Sử dụng phần mềm bảo mật đáng tin cậy : Cài đặt phần mềm chống phần mềm độc hại uy tín trên thiết bị để phát hiện và ngăn ngừa lây nhiễm ransomware. Luôn cập nhật phần mềm bảo mật để có các định nghĩa về mối đe dọa mới nhất.
• Kích hoạt tính năng bảo vệ tường lửa : Kích hoạt và duy trì tường lửa mạnh mẽ để quan sát lưu lượng mạng đến và đi, bổ sung thêm một lớp bảo vệ chống truy cập trái phép.
• Sao lưu dữ liệu quan trọng : Thường xuyên sao lưu dữ liệu quan trọng vào thiết bị lưu trữ ngoại tuyến, bên ngoài. Các giải pháp sao lưu dựa trên đám mây cũng có thể đảm bảo thực hiện các biện pháp kiểm soát truy cập và bảo mật phù hợp một cách hiệu quả.
• Thận trọng với các tệp đính kèm và liên kết email : Hãy thận trọng hơn khi truy cập các tệp đính kèm hoặc liên kết email, đặc biệt là từ các nguồn không xác định hoặc đáng ngờ. Xác minh tính hợp pháp của email và tránh tải xuống tệp từ các email không đáng tin cậy.
• Sử dụng mật khẩu mạnh, duy nhất : Sử dụng mật khẩu mạnh và độc quyền cho tài khoản của bạn, đồng thời suy nghĩ về những lợi ích của việc sử dụng trình quản lý mật khẩu để giúp tạo và quản lý mật khẩu phức tạp. Tránh sử dụng mật khẩu mặc định hoặc mật khẩu dễ đoán.
• Triển khai phân đoạn mạng : Phân đoạn mạng có thể giúp ngăn chặn sự lây lan của ransomware bằng cách hạn chế khả năng di chuyển ngang trong mạng của nó. Điều này hạn chế tác động nếu một phân khúc bị xâm phạm.

Bằng cách kết hợp các biện pháp này, người dùng có thể tăng cường đáng kể khả năng phòng vệ trước các cuộc tấn công của ransomware và giảm thiểu tác động tiềm ẩn đối với thiết bị và dữ liệu của họ.

Thông báo đòi tiền chuộc do BackMyData Ransomware tạo ra là:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'