BlackLegion Ransomware

BlackLegion hoạt động như ransomware, sử dụng mã hóa để chặn quyền truy cập vào các tệp, khiến nạn nhân không thể truy cập được. Để lấy lại quyền truy cập, nạn nhân phải giải mã các tập tin. Cùng với quá trình mã hóa này, BlackLegion tạo ra yêu cầu tiền chuộc dưới dạng tệp văn bản có tên 'DecryptNote.txt.' Ngoài ra, phần mềm độc hại còn thay đổi tên tệp bằng cách thêm một chuỗi ký tự ngẫu nhiên, địa chỉ email liên quan ('BlackLegion@zohomail.eu') và địa chỉ email. Phần mở rộng 'BlackLegion'. Để minh họa, phần mềm độc hại chuyển đổi các tên tệp như '1.jpg' thành '1.jpg.[34213543].[BlackLegion@zohomail.eu].BlackLegion' và '2.png' thành '2.png.[34213543]. [BlackLegion@zohomail.eu].BlackLegion', v.v. Quá trình sửa đổi này là một phần không thể thiếu trong chiến lược của ransomware, làm trầm trọng thêm tác động lên nạn nhân bằng cách che khuất và làm phức tạp thêm việc truy xuất tệp.

BlackLegion Ransomware khóa dữ liệu và khiến các tập tin không thể truy cập được

Thông báo đòi tiền chuộc đóng vai trò như một thông tin liên lạc từ thủ phạm, thông báo cho nạn nhân rằng dữ liệu của họ đã được mã hóa do các lỗ hổng bảo mật được cho là trong hệ thống của họ. Để tạo điều kiện thuận lợi cho việc giải mã dữ liệu, ghi chú yêu cầu thanh toán bằng tiền và hướng dẫn nạn nhân thiết lập liên hệ với những kẻ tấn công để biết thêm chi tiết. Một cảnh báo mạnh mẽ được đưa ra đối với các nỗ lực khôi phục dữ liệu độc lập vì nó có thể dẫn đến thiệt hại tiềm ẩn đối với thông tin được mã hóa.

Thông báo đòi tiền chuộc cũng tuyên bố rằng quá trình mã hóa của BlackLegion Ransomware bao gồm một thuật toán phức tạp, với khóa giải mã do tội phạm mạng nắm giữ độc quyền. Ghi chú còn chỉ ra rằng, sau khi giải mã thành công, nhóm có kế hoạch đưa ra các khuyến nghị bảo mật để tăng cường bảo mật tổng thể cho hệ thống bị ảnh hưởng.

Giao tiếp ban đầu dự kiến sẽ diễn ra trên Telegram, với thông tin liên hệ thay thế được cung cấp qua email nếu không có phản hồi trong khung thời gian 24 giờ. Ghi chú kết thúc bằng việc cung cấp ID duy nhất và ID cá nhân, nhấn mạnh tính cấp bách và cấp thiết của sự hợp tác để giải quyết nhanh chóng.

Việc khôi phục các tệp bị mã hóa thường là một thách thức ghê gớm đối với nạn nhân, vì thủ phạm sở hữu các công cụ giải mã cần thiết, hạn chế các tùy chọn có sẵn để khôi phục. Tuy nhiên, việc trả tiền chuộc không được khuyến khích do tính không chắc chắn cố hữu khi đối phó với tội phạm mạng, nạn nhân thường không có công cụ giải mã cần thiết ngay cả sau khi trả số tiền chuộc được yêu cầu.

Thực hiện các biện pháp chống lại các cuộc tấn công ransomware tiềm năng

Để bảo vệ khỏi các cuộc tấn công ransomware tiềm ẩn, người dùng có thể áp dụng cách tiếp cận chủ động bằng cách thực hiện nhiều biện pháp bảo vệ khác nhau. Dưới đây là các chiến lược chính để tăng cường bảo vệ:

• • Sao lưu thường xuyên :

• • Sao lưu dữ liệu quan trọng thường xuyên và đảm bảo rằng các bản sao lưu được lưu trữ trong môi trường biệt lập và an toàn. Các giải pháp sao lưu tự động có thể hợp lý hóa quá trình này.

• • Cập nhật phần mềm và hệ thống :

• • Duy trì cập nhật hệ điều hành, phần mềm và ứng dụng của bạn bằng cách áp dụng các bản vá bảo mật mới nhất. Cập nhật thường xuyên giúp giải quyết các lỗ hổng mà kẻ tấn công có thể khai thác.

• • Phần mềm bảo mật :

• • Cài đặt phần mềm diệt virus uy tín. Đảm bảo rằng nó được cập nhật thường xuyên để phát hiện và giảm thiểu các mối đe dọa mới nổi, bao gồm cả phần mềm tống tiền.

• • Cảnh giác qua email :

• • Hãy thận trọng khi xử lý email, đặc biệt là những email có chứa tệp đính kèm hoặc liên kết không mong muốn. Không mở email từ các nguồn không xác định hoặc đáng ngờ, nếu có thể và cảnh giác với các nỗ lực lừa đảo.

• • Xác thực đa yếu tố (MFA) :

• • Triển khai xác thực đa yếu tố để truy cập các hệ thống quan trọng và dữ liệu nhạy cảm. MFA tăng cường bảo mật bổ sung, khiến kẻ tấn công khó truy cập trái phép hơn.

• • Chính sách hạn chế phần mềm :

• • Sử dụng các chính sách hạn chế phần mềm để kiểm soát việc thực thi các chương trình và ngăn chặn phần mềm độc hại hoặc trái phép chạy trên hệ thống.

Bằng cách kết hợp các biện pháp này, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công bằng ransomware và nâng cao tình trạng an ninh mạng tổng thể của họ. Việc thường xuyên cập nhật và củng cố các phương pháp này là rất quan trọng trong bối cảnh các mối đe dọa mạng ngày càng phát triển.

Toàn bộ nội dung của thông báo đòi tiền chuộc do BlackLegion Ransomware thả xuống các hệ thống bị nhiễm là:

'Chào cưng,
Dữ liệu của bạn đã được nhóm của chúng tôi mã hóa do vấn đề bảo mật trên hệ thống của bạn.
để giải mã nó, cần phải thanh toán. nhắn tin cho chúng tôi để biết thêm thông tin.
Vui lòng không sử dụng bất kỳ công cụ hoặc phương pháp nào để khôi phục dữ liệu của bạn vì nó có thể gây hư hỏng.
Dữ liệu của bạn đã được mã hóa bằng thuật toán và khóa chỉ có sẵn cho chúng tôi.
Nếu bạn muốn thử bất kỳ phương pháp nào, hãy đảm bảo sao lưu dữ liệu của bạn trước.
Sau khi giải mã hệ thống của bạn, chúng tôi sẽ cung cấp cho bạn các đề xuất bảo mật để cải thiện tính bảo mật cho hệ thống của bạn.
Để liên hệ với chúng tôi, trước tiên hãy nhắn tin cho chúng tôi trên Telegram. Nếu bạn không nhận được phản hồi trong vòng 24 giờ thì hãy gửi email cho chúng tôi.
Thông tin liên lạc:
Điện tín: @blacklegion_support
Thư 1: BlackLegion@zohomail.eu
Thư 2: blacklegion@skiff.com
ID duy nhất:
ID cá nhân :'