BackMyData Ransomware

BackMyData 是一种勒索软件威胁，已引起网络安全研究人员的关注。根据他们的详细分析，这种威胁表现出通过利用强大的加密算法使各种文件类型完全无法访问的能力。影响超出了加密范围，因为受影响文件的原始文件名会发生重大修改。该威胁将受害者的 ID、电子邮件地址（“backmydata@skiff.com”）和“.backmydata”扩展名附加到每个更改的文件名中。这会导致独特的转换，例如“1.png”变成“1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata”和“2.pdf”变成“2” .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata，”等等。

BackMyData 的受害者发现自己面临着两张以“info.hta”和“info.txt”文件形式呈现的勒索字条。这些便条充当攻击者和受害者之间的沟通渠道，概述了赎金要求和潜在付款的说明。值得注意的是，该威胁被确定为Phobos 勒索软件家族中的一个变体，强调其与更广泛的威胁软件类别的关联。

BackMyData 受害者的文件被网络犯罪分子劫持

BackMyData 发出的勒索信是对受害者的通知，明确指出他们的网络已被破坏且文件已加密。它还揭示了网络犯罪分子通过声称已收集机密数据（包括与员工、客户、合作伙伴和公司内部文档有关的信息）来使用双重勒索策略。该说明明确表示，所有被盗的数据将被保留，直到支付所要求的赎金。

此外，该照会还发出最后通牒，威胁称如果谈判失败，将出售受损数据。它概述了数据发布后对受害者的潜在影响，包括法律后果、经济损失以及声誉受到不可挽回的损害。

在强制遵守的战略尝试中，如果受害者在指定时间范围内联系攻击者，攻击者会提出折扣赎金。提供了通信说明，指示特定消息传递平台（会话）和电子邮件地址（backmydata@skiff.com）的使用。

此外，勒索信还规定了受害者必须遵循的严格准则，以防止加密文件受到无意损坏。它明确警告不要涉及第三方或使用未经授权的解密软件，强调合规性的必要性。

除了文件加密之外，BackMyData 还通过禁用目标系统上的防火墙来加剧威胁，从而提高其对恶意活动的敏感性。它故意删除卷影卷副本，消除潜在的还原点。此外，BackMyData 具有提取位置数据的能力并采用持久性机制。威胁还可以配置为将预定位置排除在其范围之外。

需要强调的是，Phobos 系列中的勒索软件变体（包括 BackMyData）已表现出利用远程桌面协议 (RDP) 服务中的漏洞进行感染的趋势。他们经常通过暴力和字典攻击来利用薄弱的帐户凭据，从而获得对帐户安全管理不善的系统的未经授权的访问。这凸显了加强网络安全措施和警惕以应对此类复杂威胁的必要性。

强大的安全方法可以防止勒索软件威胁影响用户的设备

保护设备免受勒索软件攻击需要结合采取主动措施、网络安全最佳实践和保持警惕。以下是用户保护其设备的一些重要建议：

• 保持软件和系统更新：定期更新操作系统、软件应用程序和安全程序，以修补漏洞并防范已知的漏洞。
• 使用可靠的安全软件：在设备上安装信誉良好的反恶意软件软件以检测和防止勒索软件感染。保持安全软件更新以获得最新的威胁定义。
• 启用防火墙保护：激活并维护强大的防火墙以观察传入和传出的网络流量，从而针对未经授权的访问添加额外的防御层。
• 备份重要数据：定期将重要数据备份到外部离线存储设备。基于云的备份解决方案还可以有效确保适当的访问控制和安全程序到位。
• 对电子邮件附件和链接保持警惕：访问电子邮件附件或链接时要格外警惕，尤其是来自未知或可疑来源的电子邮件附件或链接。验证电子邮件的合法性，避免从不受信任的电子邮件中下载文件。
• 使用强而独特的密码：为您的帐户使用强而独特的密码，并考虑使用密码管理器来帮助生成和管理复杂密码的优势。避免使用默认或容易猜测的密码。
• 实施网络分段：网络分段可以通过限制勒索软件在网络内横向移动的能力来帮助遏制勒索软件的传播。如果某个网段受到损害，这会限制影响。

通过结合这些措施，用户可以显着增强对勒索软件攻击的防御能力，并最大限度地减少对其设备和数据的潜在影响。

BackMyData 勒索软件生成的勒索信息为：

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'