Nowe oprogramowanie ransomware Black Basta

Ransomware usuwa wszystkie dane przed zaszyfrowaniem urządzeń. Ofiary są zmuszane do zapłacenia okupu, aby zapobiec wyciekowi i móc odszyfrować swoje dane. Grupa prowadzi blog w sieci TOR, na którym publikuje dane ofiar. Po infekcji ofiary są proszone o odwiedzenie portalu „support” Black Basta za pośrednictwem sieci TOR, w celu uzyskania wsparcia przy odzyskaniu danych. Ransomware Black Basta usuwa kopie w tle z zaatakowanej maszyny (vssadmin), co uniemożliwia ofierze odzyskanie wszelkich zaszyfrowanych plików. Oprogramowanie ransomware zastępuje również tapetę pulpitu obrazem z czarnym tłem, który zawiera następującą wiadomość dotyczącą okupu:

Twoja sieć została zaszyfrowana przez Grupę Black Basta. Instrukcje w pliku readme.txt

Następnie oprogramowanie ransomware ponownie uruchomia zhakowaną maszynę w trybie awaryjnym z uruchomioną usługą Windows Fax. Po ponownym uruchomieniu usługa uruchamia oprogramowanie ransomware w celu rozpoczęcia szyfrowania plików. Pliki zaszyfrowane przez ransomware Black Basta mają rozszerzenie pliku „.basta”, a także własną ikonę pliku ransomware. Plik Readme.txt zawiera notatkę z żądaniem okupu i instrukcję, odnoszącą się do adresu w sieci TOR w celu skontaktowania się z cyberprzestępcami. Ransomwar’em Black Basta zostało zainfekowanych kilka organizacji w wielu krajach.

Co ma z tym wspólnego usługa Faks systemu Windows? 

Usługa faksowania systemu Windows nie jest zagrożona. Jest ona atakowana w celu utrzymania trwałości ransomware, a w tym wariancie Black Basta przechwytuje istniejącą nazwę usługi (w tym przypadku Faks systemu Windows), usuwa ją i tworzy nową usługę o tej samej nazwie.

Zobacz jak SentinelOne zapobiega i wykrywa ransomware Black Basta, który jest stosunkowo nową grupą wymuszającą.