باج افزار BackMyData

BackMyData یک تهدید باج افزار است که توجه محققان امنیت سایبری را به خود جلب کرده است. با توجه به تجزیه و تحلیل دقیق آنها، این تهدید قابلیت غیرقابل دسترس کردن طیف متنوعی از انواع فایل را از طریق استفاده از الگوریتم های رمزگذاری قوی نشان می دهد. این تأثیر فراتر از رمزگذاری است، زیرا نام فایل های اصلی فایل های آسیب دیده دستخوش تغییرات اساسی می شوند. این تهدید شناسه قربانی، یک آدرس ایمیل ("backmydata@skiff.com") و پسوند ".backmydata" را به نام هر فایل تغییر داده شده اضافه می کند. این منجر به یک تبدیل متمایز می شود، که نمونه آن تغییراتی مانند «1.png» تبدیل شدن به «1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata» و تبدیل «2.pdf» به «2» است. pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata، در میان دیگران.

قربانیان BackMyData خود را با دو یادداشت باج ارائه شده در قالب فایل های 'info.hta' و 'info.txt' مواجه می کنند. این یادداشت‌ها به‌عنوان یک کانال ارتباطی بین مهاجمان و قربانیان عمل می‌کنند و مطالبات باج‌گیری و دستورالعمل‌های پرداخت احتمالی را مشخص می‌کنند. نکته قابل توجه این است که این تهدید به عنوان گونه‌ای در خانواده باج‌افزار فوبوس شناخته می‌شود و بر ارتباط آن با دسته وسیع‌تری از نرم‌افزارهای تهدیدکننده تأکید می‌کند.

قربانیان BackMyData فایل های خود را توسط مجرمان سایبری گروگان گرفته اند

یادداشت باج صادر شده توسط BackMyData به عنوان یک اعلان برای قربانیان عمل می کند و به صراحت بیان می کند که شبکه آنها در معرض خطر قرار گرفته و فایل ها رمزگذاری شده است. همچنین استفاده از تاکتیک‌های اخاذی مضاعف توسط مجرمان سایبری را با ادعای جمع‌آوری داده‌های محرمانه که شامل اطلاعات مربوط به کارمندان، مشتریان، شرکا و اسناد داخلی شرکت است، آشکار می‌کند. این یادداشت به صراحت اعلام می کند که تمام داده های سرقت شده تا زمانی که باج مطالبه شده پرداخت نشود، حفظ خواهد شد.

علاوه بر این، یادداشت یک اولتیماتوم ارائه می‌کند و تهدید می‌کند که در صورت شکست مذاکرات، داده‌های در معرض خطر را می‌فروشد. این عواقب بالقوه برای قربانی، از جمله عواقب قانونی، خسارات مالی، و صدمات جبران ناپذیری که به شهرت آنها پس از انتشار داده‌ها وارد می‌شود، بیان می‌کند.

در یک تلاش استراتژیک برای اجبار به تبعیت، مهاجمان در صورتی که قربانی در یک بازه زمانی مشخص با آنها تماس بگیرد، باج تخفیفی را پیشنهاد می‌کنند. دستورالعمل های ارتباطی ارائه شده است که نشان دهنده استفاده از یک پلت فرم پیام رسانی خاص (Session) و یک آدرس ایمیل (backmydata@skiff.com) است.

علاوه بر این، یادداشت باج رهنمودهای سختگیرانه ای را برای قربانی اعمال می کند تا از آسیب ناخواسته به فایل های رمزگذاری شده جلوگیری کند. این به صراحت در مورد دخالت اشخاص ثالث یا استفاده از نرم افزارهای رمزگشایی غیرمجاز هشدار می دهد و بر لزوم رعایت آن تاکید می کند.

فراتر از رمزگذاری فایل، BackMyData با غیرفعال کردن فایروال در سیستم مورد نظر، تهدید را تشدید می کند و حساسیت آن را نسبت به فعالیت های مخرب افزایش می دهد. عمداً کپی‌های حجم سایه را پاک می‌کند و نقاط بازیابی احتمالی را حذف می‌کند. علاوه بر این، BackMyData دارای قابلیت استخراج داده های مکان است و مکانیسم های پایداری را به کار می گیرد. تهدید همچنین می تواند پیکربندی شود تا مکان های از پیش تعیین شده را از دسترس خود حذف کند.

بسیار مهم است که تاکید کنیم انواع باج افزار در خانواده فوبوس، از جمله BackMyData، تمایلی به سوء استفاده از آسیب پذیری ها در سرویس های پروتکل دسکتاپ از راه دور (RDP) برای عفونت نشان داده اند. آن‌ها اغلب از اعتبارنامه‌های ضعیف حساب از طریق حملات brute force و فرهنگ لغت استفاده می‌کنند و در نتیجه دسترسی غیرمجاز به سیستم‌هایی با امنیت حساب مدیریت ناکافی به دست می‌آورند. این امر بر ضرورت افزایش اقدامات امنیت سایبری و هوشیاری برای مقابله با چنین تهدیدات پیچیده ای تاکید می کند.

یک رویکرد امنیتی قوی می‌تواند از تهدیدات باج‌افزاری از تأثیرگذاری بر دستگاه‌های کاربران جلوگیری کند

محافظت از دستگاه ها در برابر حملات باج افزار شامل ترکیبی از اقدامات پیشگیرانه، بهترین شیوه های امنیت سایبری و هوشیاری است. در اینجا چند توصیه کلیدی برای کاربران برای محافظت از دستگاه های خود آورده شده است:

• نرم افزار و سیستم ها را به روز نگه دارید : به طور منظم سیستم عامل ها، برنامه های نرم افزاری و برنامه های امنیتی را به روز کنید تا آسیب پذیری ها را اصلاح کنید و در برابر سوء استفاده های شناخته شده محافظت کنید.
• استفاده از نرم‌افزار امنیتی قابل اعتماد : نرم‌افزار ضد بدافزار معتبر را روی دستگاه‌ها نصب کنید تا عفونت‌های باج‌افزار را شناسایی و از آن جلوگیری کنید. نرم افزار امنیتی را برای آخرین تعاریف تهدید به روز نگه دارید.
• فعال کردن محافظت از فایروال : یک فایروال قوی را برای مشاهده ترافیک شبکه ورودی و خروجی فعال و حفظ کنید و یک لایه دفاعی اضافی در برابر دسترسی غیرمجاز اضافه کنید.
• پشتیبان گیری از داده های مهم : به طور مرتب از داده های حیاتی در یک دستگاه ذخیره سازی خارجی و آفلاین نسخه پشتیبان تهیه کنید. راه‌حل‌های پشتیبان‌گیری مبتنی بر فضای ابری همچنین می‌توانند به طور موثر تضمین کنند که کنترل‌های دسترسی مناسب و اقدامات امنیتی وجود دارد.
• با پیوست‌ها و پیوندهای ایمیل هوشیار باشید : هنگام دسترسی به پیوست‌ها یا پیوندهای ایمیل، به‌ویژه از منابع ناشناس یا مشکوک، بسیار مراقب باشید. مشروعیت ایمیل‌ها را بررسی کنید و از دانلود فایل‌ها از ایمیل‌های غیرقابل اعتماد خودداری کنید.
• از رمزهای عبور قوی و منحصر به فرد استفاده کنید : از رمزهای عبور قوی و انحصاری برای حساب های خود استفاده کنید و به مزایای استفاده از مدیر رمز عبور برای کمک به تولید و مدیریت رمزهای عبور پیچیده فکر کنید. از استفاده از رمزهای عبور پیش فرض یا به راحتی قابل حدس زدن خودداری کنید.

با ترکیب این اقدامات، کاربران می توانند به طور قابل توجهی دفاع خود را در برابر حملات باج افزار افزایش دهند و تأثیر بالقوه بر دستگاه ها و داده های خود را به حداقل برسانند.

یادداشت باج‌گیری ایجاد شده توسط باج‌افزار BackMyData به شرح زیر است:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'