Oprogramowanie ransomware BackMyData

BackMyData to zagrożenie oprogramowaniem ransomware, które przyciągnęło uwagę badaczy cyberbezpieczeństwa. Według ich szczegółowej analizy zagrożenie to może całkowicie uniemożliwić dostęp do różnorodnych typów plików dzięki zastosowaniu solidnych algorytmów szyfrowania. Wpływ wykracza poza szyfrowanie, ponieważ oryginalne nazwy plików, których dotyczy problem, ulegają znacznym modyfikacjom. Zagrożenie dołącza identyfikator ofiary, adres e-mail („backmydata@skiff.com”) i rozszerzenie „.backmydata” do nazwy każdego zmienionego pliku. Powoduje to charakterystyczną transformację, której przykładem są zmiany, takie jak zmiana „1.png” na „1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata” i „2.pdf” przekształcanie na „2 .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata”, między innymi.

Ofiary BackMyData zostają skonfrontowane z dwoma żądaniami okupu przedstawionymi w postaci plików „info.hta” i „info.txt”. Notatki te służą jako kanał komunikacji między napastnikami a ofiarami, przedstawiając żądania okupu i instrukcje dotyczące potencjalnej płatności. Warto zauważyć, że zagrożenie zostało zidentyfikowane jako wariant rodziny Phobos Ransomware , co podkreśla jego powiązanie z szerszą kategorią zagrażającego oprogramowania.

Cyberprzestępcy wzięli pliki jako zakładniki ofiar BackMyData

Notatka z żądaniem okupu wystawiona przez BackMyData służy jako powiadomienie dla ofiar i wyraźnie stwierdza, że ich sieć została naruszona, a pliki zaszyfrowane. Ujawnia także stosowanie taktyki podwójnego wymuszenia przez cyberprzestępców, twierdząc, że zebrano poufne dane, obejmujące informacje dotyczące pracowników, klientów, partnerów oraz wewnętrzną dokumentację firmy. Notatka wyraźnie informuje, że wszystkie skradzione dane zostaną zatrzymane do czasu zapłacenia żądanego okupu.

Ponadto w notatce postawiono ultimatum, grożąc sprzedażą skompromitowanych danych w przypadku niepowodzenia negocjacji. Przedstawia potencjalne konsekwencje dla ofiary, w tym konsekwencje prawne, straty finansowe i nieodwracalne szkody dla jej reputacji po ujawnieniu danych.

W ramach strategicznej próby wymuszenia zgodności napastnicy proponują obniżony okup, jeśli ofiara skontaktuje się z nimi w określonym czasie. Udostępnione są instrukcje dotyczące komunikacji, wskazujące użycie konkretnej platformy komunikacyjnej (sesja) i adres e-mail (backmydata@skiff.com).

Ponadto żądanie okupu narzuca ofierze rygorystyczne wytyczne, których powinna przestrzegać, aby zapobiec niezamierzonemu uszkodzeniu zaszyfrowanych plików. Wyraźnie ostrzega przed angażowaniem osób trzecich lub stosowaniem nieautoryzowanego oprogramowania deszyfrującego, podkreślając potrzebę przestrzegania zasad.

Oprócz szyfrowania plików, BackMyData zwiększa zagrożenie, wyłączając zaporę ogniową w docelowym systemie, zwiększając jego podatność na złośliwe działania. Celowo usuwa kopie woluminów w tle, eliminując potencjalne punkty przywracania. Co więcej, BackMyData posiada możliwość wyodrębnienia danych o lokalizacji i wykorzystuje mechanizmy trwałości. Zagrożenie można również skonfigurować tak, aby wykluczało z jego zasięgu określone lokalizacje.

Należy podkreślić, że warianty oprogramowania ransomware z rodziny Phobos, w tym BackMyData, wykazały tendencję do wykorzystywania luk w zabezpieczeniach usług protokołu Remote Desktop Protocol (RDP) w celu infekcji. Często wykorzystują słabe dane uwierzytelniające do konta poprzez ataki siłowe i słownikowe, uzyskując w ten sposób nieautoryzowany dostęp do systemów z niewłaściwie zarządzanym bezpieczeństwem kont. Podkreśla to konieczność podjęcia wzmożonych środków bezpieczeństwa cybernetycznego i czujności w celu przeciwdziałania tak wyrafinowanym zagrożeniom.

Solidne podejście do bezpieczeństwa może zapobiec wpływowi zagrożeń typu ransomware na urządzenia użytkowników

Ochrona urządzeń przed atakami oprogramowania ransomware wymaga połączenia proaktywnych środków, najlepszych praktyk w zakresie cyberbezpieczeństwa i czujności. Oto kilka kluczowych zaleceń dla użytkowników dotyczących ochrony swoich urządzeń:

• Aktualizuj oprogramowanie i systemy : regularnie aktualizuj systemy operacyjne, aplikacje i programy zabezpieczające, aby łatać luki w zabezpieczeniach i chronić przed znanymi exploitami.
• Używaj niezawodnego oprogramowania zabezpieczającego : zainstaluj na urządzeniach renomowane oprogramowanie chroniące przed złośliwym oprogramowaniem, aby wykrywać infekcje ransomware i zapobiegać im. Aktualizuj oprogramowanie zabezpieczające, aby uzyskać najnowsze definicje zagrożeń.
• Włącz ochronę zapory sieciowej : Aktywuj i utrzymuj solidną zaporę ogniową, aby obserwować przychodzący i wychodzący ruch sieciowy, dodając dodatkową warstwę ochrony przed nieautoryzowanym dostępem.
• Kopia zapasowa ważnych danych : Regularnie twórz kopie zapasowe najważniejszych danych na zewnętrznym urządzeniu pamięci masowej pracującym w trybie offline. Rozwiązania do tworzenia kopii zapasowych oparte na chmurze mogą również skutecznie zapewnić odpowiednią kontrolę dostępu i procedury bezpieczeństwa.
• Zachowaj czujność w przypadku załączników i łączy do wiadomości e-mail : zachowaj szczególną czujność podczas uzyskiwania dostępu do załączników lub łączy do wiadomości e-mail, szczególnie z nieznanych lub podejrzanych źródeł. Sprawdź autentyczność wiadomości e-mail i unikaj pobierania plików z niezaufanych wiadomości e-mail.
• Używaj silnych, unikalnych haseł : Stosuj silne i ekskluzywne hasła do swoich kont i pomyśl o zaletach korzystania z menedżera haseł, który pomaga w generowaniu złożonych haseł i zarządzaniu nimi. Unikaj używania domyślnych lub łatwych do odgadnięcia haseł.
• Wdrożenie segmentacji sieci : Segmentacja sieci może pomóc w powstrzymaniu rozprzestrzeniania się oprogramowania ransomware, ograniczając jego zdolność do bocznego przemieszczania się w sieci. Ogranicza to wpływ, jeśli jeden segment zostanie naruszony.

Łącząc te środki, użytkownicy mogą znacząco wzmocnić swoją ochronę przed atakami oprogramowania ransomware i zminimalizować potencjalny wpływ na ich urządzenia i dane.

Notatka o okupie wygenerowana przez oprogramowanie BackMyData Ransomware to:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'