BackMyData Ransomware

BackMyData 是一種勒索軟體威脅，已引起網路安全研究人員的注意。根據他們的詳細分析，這種威脅表現出透過利用強大的加密演算法使各種文件類型完全無法存取的能力。影響超出了加密範圍，因為受影響檔案的原始檔案名稱會發生重大修改。此威脅將受害者的 ID、電子郵件地址（「backmydata@skiff.com」）和「.backmydata」副檔名附加到每個變更的檔案名稱中。這會導致獨特的轉換，例如“1.png”變成“1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata”和“2.pdf”變成“2” .pdf .id[9ECFA74E-3511].[backmydata@skiff.com].backmydata，」等等。

BackMyData 的受害者發現自己面臨著兩張以「info.hta」和「info.txt」檔案形式呈現的勒索字條。這些便條充當攻擊者和受害者之間的溝通管道，概述了贖金要求和潛在付款說明。值得注意的是，該威脅被確定為Phobos 勒索軟體家族中的變體，強調其與更廣泛的威脅軟體類別的關聯。

BackMyData 受害者的檔案被網路犯罪分子劫持

BackMyData 發出的勒索信是對受害者的通知，明確指出他們的網路已被破壞且檔案已加密。它還揭示了網路犯罪分子使用雙重勒索策略，聲稱已收集機密數據，包括與員工、客戶、合作夥伴和公司內部文件有關的資訊。該說明明確表示，所有被盜的資料將被保留，直到支付所要求的贖金。

此外，該照會還發出最後通牒，威脅如果談判失敗，將出售受損數據。它概述了數據發布後對受害者的潛在影響，包括法律後果、經濟損失以及聲譽受到的不可挽回的損害。

在強制遵守的策略嘗試中，如果受害者在指定時間範圍內聯繫攻擊者，攻擊者會提出折扣贖金。提供了通訊說明，指示特定訊息傳遞平台（會話）和電子郵件地址（backmydata@skiff.com）的使用。

此外，勒索信還規定了受害者必須遵循的嚴格準則，以防止加密文件受到無意損壞。它明確警告不要涉及第三方或使用未經授權的解密軟體，強調合規性的必要性。

除了檔案加密之外，BackMyData 還透過停用目標系統上的防火牆來加劇威脅，從而提高其對惡意活動的敏感度。它故意刪除卷影卷副本，消除潛在的還原點。此外，BackMyData 具有提取位置資料的能力並採用持久性機制。威脅也可以配置為將預定位置排除在其範圍之外。

需要強調的是，Phobos 系列中的勒索軟體變體（包括 BackMyData）已表現出利用遠端桌面協定 (RDP) 服務中的漏洞進行感染的趨勢。他們經常透過暴力和字典攻擊來利用薄弱的帳戶憑證，從而獲得對帳戶安全管理不善的系統的未經授權的存取。這凸顯了加強網路安全措施和警覺性以應對此類複雜威脅的必要性。

強大的安全方法可以防止勒索軟體威脅影響使用者的設備

保護設備免受勒索軟體攻擊需要結合採取主動措施、網路安全最佳實踐和保持警惕。以下是用戶保護其設備的一些重要建議：

• 保持軟體和系統更新：定期更新作業系統、軟體應用程式和安全程序，以修補漏洞並防範已知的漏洞。
• 使用可靠的安全軟體：在裝置上安裝信譽良好的反惡意軟體軟體以偵測和防止勒索軟體感染。保持安全軟體更新以獲得最新的威脅定義。
• 啟用防火牆保護：啟動並維護強大的防火牆以觀察傳入和傳出的網路流量，從而針對未經授權的存取添加額外的防禦層。
• 備份重要資料：定期將重要資料備份到外部離線儲存設備。基於雲端的備份解決方案還可以有效確保適當的存取控制和安全程序到位。
• 對電子郵件附件和連結保持警惕：在存取電子郵件附件或連結時要格外警惕，尤其是來自未知或可疑來源的電子郵件附件或連結。驗證電子郵件的合法性，避免從不受信任的電子郵件下載檔案。
• 使用強而獨特的密碼：為您的帳戶採用強而獨特的密碼，並考慮使用密碼管理器來幫助產生和管理複雜密碼的優勢。避免使用預設或容易猜測的密碼。
• 實施網路分段：網路分段可以透過限制勒索軟體在網路內橫向移動的能力來幫助遏制勒索軟體的傳播。如果某個網段受到威脅，這會限制影響。

透過結合這些措施，使用者可以顯著增強對勒索軟體攻擊的防禦能力，並最大限度地減少對其設備和數據的潛在影響。

BackMyData 勒索軟體產生的勒索資訊為：

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'