BACKJOHN 勒索软件

网络安全研究人员发现了一种名为 BACKJOHN 的新型危险恶意软件威胁。据观察，勒索软件会加密数据，修改所有加密文件的文件名，并以“info.hta”和“info.txt”文件的形式创建两个勒索票据。 BACKJOHN 的代码和行为表明该威胁是 Phobos 勒索软件家族的一部分。

勒索软件被观察到为每个被破坏的设备创建一个受害者的 ID，并将其附加到所有加密文件的名称中。此外，BACKJOHN 添加了属于攻击者的电子邮件地址和原始文件名的“.BACKJOHN”扩展名。例如，它将 '1.doc' 更改为 '1.doc.id[9ECFA84E-3143].[backjohn131@gmail.com].BACKJOHN,' 并将 '2.jpg' 更改为 '2.png.id[9ECFA84E- 3143].[backjohn131@gmail.com].BACKJOHN' 等等。 BACKJOHN 用于通信的电子邮件地址是“backjohn131@gmail.com”。

BACKJOHN 勒索软件使大多数文件无法使用

BACKJOHN 勒索软件留下的勒索字条指示受害者通过电子邮件地址 backjohn131@gmail.com 与攻击者联系，邮件标题中包含特定 ID。如果攻击者未在 24 小时内做出响应，系统会指示受害者向 backjohn@tutanota.com 发送消息。

攻击者要求用比特币支付以换取受害者文件的解密，金额取决于受害者与攻击者联系的速度。作为付款前的保证，该票据提供最多五个文件的免费解密，但对文件大小和类型有限制。

此外，该说明警告受害者不要重命名加密文件或尝试使用第三方软件解密，因为这可能导致永久性数据丢失或增加赎金成本。攻击者已经为受害者设置了明确的指示，不遵守的后果。

保护您的数据免受勒索软件威胁至关重要

为了保护他们的设备和数据免受勒索软件攻击，用户可以实施预防和反应措施的组合。这些措施包括提高认识、采取预防措施和准备应对潜在威胁。

预防措施包括保持软件和操作系统更新、使用防病毒和反恶意软件，以及在下载文件或点击电子邮件或消息中的链接时保持谨慎。用户还应避免打开来自未知发件人的可疑附件或电子邮件，并应在可用时使用强密码和多因素身份验证。

除了预防措施外，用户还应做好应对潜在攻击的准备。这涉及定期将重要数据备份到外部源并测试备份恢复过程以确保它们正常运行。用户还应该制定应对勒索软件攻击的计划，包括了解与谁联系以及在发生攻击时应采取的步骤。

最后，提高家人、朋友和同事的意识有助于防止勒索软件攻击的传播。教育其他人了解与勒索软件攻击相关的风险以及如何识别和应对这些风险，不仅可以大大保护个人设备和数据，还可以保护整个网络和系统。

BACKJOHN 勒索软件勒索勒索信息的全文是：

您的所有文件都已加密！
由于您的 PC 存在安全问题，您的所有文件都已加密。如果您想恢复它们，请写信给我们的电子邮件 backjohn131@gmail.com
在您的消息标题中写下此 ID -
如果在 24 小时内没有得到答复，请写信给我们：backjohn@tutanota.com
您必须用比特币支付解密费用。价格取决于您给我们写信的速度。付款后，我们将向您发送解密所有文件的工具。
免费解密为保证
在付款之前，您最多可以向我们发送 5 个文件以供免费解密。文件总大小必须小于 4Mb（非存档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）
如何获得比特币
购买比特币最简单的方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后通过付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在此处找到其他购买比特币和初学者指南的地方：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力！
不要重命名加密文件。
不要尝试使用第三方软件解密您的数据，这可能会导致永久性数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们向我们收取费用）或者您可能成为骗局的受害者。

威胁投放的文本文件包含以下消息：

!!!您的所有文件都已加密！！！
要解密它们，请发送电子邮件至此地址：backjohn131@gmail.com。
如果我们未在 24 小时内回复，请发送电子邮件至此地址：backjohn@tutanota.com