BackMyData Программа-вымогатель

BackMyData — это угроза-вымогатель, которая привлекла внимание исследователей кибербезопасности. Согласно их подробному анализу, эта угроза демонстрирует способность делать различные типы файлов полностью недоступными за счет использования надежных алгоритмов шифрования. Воздействие выходит за рамки шифрования, поскольку исходные имена затронутых файлов претерпевают существенные изменения. Угроза добавляет идентификатор жертвы, адрес электронной почты («backmydata@skiff.com») и расширение «.backmydata» к каждому измененному имени файла. Это приводит к своеобразному преобразованию, примером которого являются такие изменения, как «1.png» становится «1.jpg.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata» и преобразование «2.pdf» в «2». .pdf.id[9ECFA74E-3511].[backmydata@skiff.com].backmydata» и другие.

Жертвы BackMyData сталкиваются с двумя записками о выкупе, представленными в виде файлов info.hta и info.txt. Эти записи служат каналом связи между злоумышленниками и жертвами, в них излагаются требования о выкупе и инструкции по возможной выплате. Примечательно, что угроза определена как разновидность семейства Phobos Ransomware , что подчеркивает ее связь с более широкой категорией угрожающего программного обеспечения.

Файлы жертв BackMyData были взяты в заложники киберпреступниками

Записка с требованием выкупа, выпущенная BackMyData, служит уведомлением жертвам, в котором прямо указывается, что их сеть взломана, а файлы зашифрованы. Оно также раскрывает использование киберпреступниками тактики двойного вымогательства, утверждая, что были собраны конфиденциальные данные, включая информацию, относящуюся к сотрудникам, клиентам, партнерам, а также внутреннюю документацию компании. В примечании прямо сообщается, что все украденные данные будут храниться до тех пор, пока не будет выплачен требуемый выкуп.

Более того, в записке содержится ультиматум с угрозой продать скомпрометированные данные, если переговоры потерпят неудачу. В нем описываются потенциальные последствия для жертвы, включая юридические последствия, финансовые потери и непоправимый ущерб их репутации после разглашения данных.

В стратегической попытке принудить к соблюдению требований злоумышленники предлагают скидку на выкуп, если жертва свяжется с ними в течение определенного периода времени. Предоставляются инструкции по связи с указанием использования конкретной платформы обмена сообщениями (сеанса) и адреса электронной почты (backmydata@skiff.com).

Кроме того, в записке о выкупе содержатся строгие правила, которым жертва должна следовать, чтобы предотвратить непреднамеренное повреждение зашифрованных файлов. Он прямо предостерегает от привлечения третьих лиц или использования несанкционированного программного обеспечения для дешифрования, подчеркивая необходимость соблюдения требований.

Помимо шифрования файлов, BackMyData усугубляет угрозу, отключая брандмауэр целевой системы, повышая ее восприимчивость к вредоносным действиям. Он намеренно стирает теневые копии томов, устраняя потенциальные точки восстановления. Более того, BackMyData обладает возможностью извлекать данные о местоположении и использует механизмы сохранения. Угроза также может быть настроена на исключение заранее определенных мест из зоны ее действия.

Крайне важно подчеркнуть, что варианты программ-вымогателей семейства Phobos, включая BackMyData, продемонстрировали тенденцию использовать уязвимости в службах протокола удаленного рабочего стола (RDP) для заражения. Они часто извлекают выгоду из слабых учетных данных с помощью грубой силы и атак по словарю, тем самым получая несанкционированный доступ к системам с недостаточно управляемой безопасностью учетных записей. Это подчеркивает необходимость усиления мер кибербезопасности и бдительности для противодействия столь сложным угрозам.

Надежный подход к обеспечению безопасности может предотвратить воздействие угроз со стороны программ-вымогателей на устройства пользователей

Защита устройств от атак программ-вымогателей предполагает сочетание превентивных мер, лучших практик кибербезопасности и бдительности. Вот несколько ключевых рекомендаций для пользователей по защите своих устройств:

• Постоянно обновляйте программное обеспечение и системы . Регулярно обновляйте операционные системы, программные приложения и программы безопасности для устранения уязвимостей и защиты от известных эксплойтов.
• Используйте надежное программное обеспечение безопасности . Установите на устройства надежное антивирусное программное обеспечение для обнаружения и предотвращения заражения программами-вымогателями. Постоянно обновляйте программное обеспечение безопасности для получения последних определений угроз.
• Включить защиту брандмауэра : активируйте и поддерживайте надежный брандмауэр для наблюдения за входящим и исходящим сетевым трафиком, добавляя дополнительный уровень защиты от несанкционированного доступа.
• Резервное копирование важных данных . Регулярно создавайте резервные копии важных данных на внешнем автономном устройстве хранения. Облачные решения для резервного копирования также могут эффективно обеспечить надлежащий контроль доступа и процедуры безопасности.
• Будьте бдительны с вложениями и ссылками электронной почты . Будьте особенно бдительны при доступе к вложениям электронной почты или ссылкам, особенно из неизвестных или подозрительных источников. Проверяйте легитимность электронных писем и избегайте загрузки файлов из ненадежных писем.
• Используйте надежные, уникальные пароли . Используйте надежные и эксклюзивные пароли для своих учетных записей и подумайте о преимуществах использования менеджера паролей для создания сложных паролей и управления ими. Избегайте использования паролей по умолчанию или легко угадываемых паролей.
• Внедрить сегментацию сети . Сегментация сетей может помочь сдержать распространение программ-вымогателей, ограничивая их возможность горизонтального перемещения внутри сети. Это ограничивает влияние, если один сегмент окажется скомпрометированным.

Комбинируя эти меры, пользователи могут значительно повысить свою защиту от атак программ-вымогателей и минимизировать потенциальное воздействие на свои устройства и данные.

Записка о выкупе, созданная BackMyData Ransomware:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information:
Data of your employees, customers, partners, as well as accounting and
other internal documentation of your company.

All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

What you will face if your data gets on the black market:
1) The personal information of your employees and customers may be used to obtain a loan or
purchases in online stores.
2) You may be sued by clients of your company for leaking information that was confidential.
3) After other hackers obtain personal data about your employees, social engineering will be
applied to your company and subsequent attacks will only intensify.
4) Bank details and passports can be used to create bank accounts and online wallets through
which criminal money will be laundered.
5) You will forever lose the reputation.
6) You will be subject to huge fines from the government.
You can learn more about liability for data loss here:
hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation
hxxps://gdpr-info.eu/
Courts, fines and the inability to use important files will lead you to huge losses.
The consequences of this will be irreversible for you.
Contacting the police will not save you from these consequences, and lost data,
will only make your situation worse.

IF YOU WILL CONTACT US IN FIRST 6 hours , and we close our deal in 24 hours , PRICE WILL BE ONLY 30%.
(time is money for both of us , if you will take care about our time , we will do same , we will care of price and decryption process will be done VERY FAST)
ALL DOWNLOADED DATA WILL BE DELETED after payment.

You can get out of this situation with minimal losses (Our reputation is our money!) !!!
To do this you must strictly observe the following rules:
DO NOT Modify, DO NOT rename, DO NOT copy, DO NOT move any files.
Such actions may DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it may also DAMAGE files.
DO NOT Shutdown or Reboot the system this may DAMAGE files.
DO NOT hire any third party negotiators (recovery/police, etc.)
You need to contact us as soon as possible and start negotiations.

You can send us 1-2 small data not value files for test , we will decrypt it and send it to you back.
After payment we need no more that 2 hours to decrypt all of your data. We will be support you untill fully decryption going to be done! ! !
(Our reputation is our money!)

Instructions for contacting our team:
Download the (Session) messenger (hxxps://getsession.org) in messenger 05947063ab6603c0e3a12db53d93d23634081c56390ff2084d11977820f78ce877

MAIL:backmydata@skiff.com'