BACKJOHN Ransomware

Los investigadores de ciberseguridad se han encontrado con una nueva amenaza de malware peligrosa rastreada como BACKJOHN. Se ha observado que el ransomware encripta datos, modifica los nombres de archivo de todos los archivos encriptados y crea dos notas de rescate en forma de archivos 'info.hta' e 'info.txt'. El código y el comportamiento de BACKJOHN indican que la amenaza es parte de la familia de ransomware Phobos.

Se observa que el ransomware crea una identificación de víctima para cada dispositivo violado y la agrega a los nombres de todos los archivos cifrados. Además, BACKJOHN agrega una dirección de correo electrónico perteneciente a los atacantes y una extensión '.BACKJOHN' a los nombres de archivo originales. Por ejemplo, cambia '1.doc' a '1.doc.id[9ECFA84E-3143].[backjohn131@gmail.com].BACKJOHN,' y '2.jpg' a '2.png.id[9ECFA84E- 3143].[backjohn131@gmail.com].BACKJOHN,' y así sucesivamente. La dirección de correo electrónico utilizada por BACKJOHN para la comunicación es 'backjohn131@gmail.com'.

El ransomware BACKJOHN inutiliza la mayoría de los archivos

La nota de rescate dejada por el ransomware BACKJOHN le indica a la víctima que se comunique con el atacante a la dirección de correo electrónico backjohn131@gmail.com, con una identificación específica incluida en el título del mensaje. Si el atacante no responde dentro de las 24 horas, se indica a la víctima que envíe un mensaje a backjohn@tutanota.com.

El atacante exige el pago en Bitcoins a cambio del descifrado de los archivos de la víctima, y la cantidad depende de la rapidez con la que la víctima contacta al atacante. Como garantía antes del pago, la nota ofrece descifrado gratuito de hasta cinco archivos, con restricciones de tamaño y tipo de archivo.

Además, la nota advierte a la víctima que no cambie el nombre de los archivos cifrados o que intente descifrarlos con software de terceros, ya que esto puede provocar la pérdida permanente de datos o un aumento de los costos de rescate. El atacante ha establecido instrucciones claras para que la víctima las siga, con consecuencias en caso de incumplimiento.

Proteger sus datos de amenazas de ransomware es crucial

Para proteger sus dispositivos y datos de los ataques de ransomware, los usuarios pueden implementar una combinación de medidas preventivas y reactivas. Estas medidas implican crear conciencia, tomar precauciones y estar preparados para responder a amenazas potenciales.

Las medidas preventivas incluyen mantener el software y los sistemas operativos actualizados, usar software antivirus y antimalware, y tener cuidado al descargar archivos o hacer clic en enlaces en correos electrónicos o mensajes. Los usuarios también deben evitar abrir archivos adjuntos o correos electrónicos sospechosos de remitentes desconocidos y deben usar contraseñas seguras y autenticación multifactor cuando esté disponible.

Además de las medidas preventivas, los usuarios también deben estar preparados para responder a posibles ataques. Esto implica realizar copias de seguridad periódicas de los datos importantes en una fuente externa y probar los procesos de recuperación de copias de seguridad para garantizar que funcionen. Los usuarios también deben tener un plan para responder a los ataques de ransomware, incluido saber a quién contactar y qué pasos tomar en caso de un ataque.

Por último, crear conciencia entre familiares, amigos y compañeros de trabajo puede ayudar a prevenir la propagación de ataques de ransomware. Educar a otros sobre los riesgos asociados con los ataques de ransomware y cómo identificarlos y responder a ellos puede contribuir en gran medida a proteger no solo los dispositivos y datos individuales, sino también redes y sistemas completos.

El texto completo del mensaje de rescate de BACKJOHN Ransomware es:

¡Todos sus archivos han sido encriptados!
Todos sus archivos han sido encriptados debido a un problema de seguridad con su PC. Si desea restaurarlos, escríbanos al correo electrónico backjohn131@gmail.com
Escribe este ID en el título de tu mensaje -
En caso de no respuesta en 24 horas escríbanos a este e-mail: backjohn@tutanota.com
Tienes que pagar por el descifrado en Bitcoins. El precio depende de lo rápido que nos escribas. Después del pago, le enviaremos la herramienta que descifrará todos sus archivos.
Descifrado gratuito como garantía
Antes de pagar, puede enviarnos hasta 5 archivos para descifrarlos de forma gratuita. El tamaño total de los archivos debe ser inferior a 4 Mb (no archivados) y los archivos no deben contener información valiosa. (bases de datos, copias de seguridad, hojas de Excel grandes, etc.)
Cómo obtener Bitcoins
La forma más fácil de comprar bitcoins es el sitio LocalBitcoins. Debe registrarse, hacer clic en 'Comprar bitcoins' y seleccionar el vendedor por método de pago y precio.
hxxps://localbitcoins.com/buy_bitcoins
También puede encontrar otros lugares para comprar Bitcoins y una guía para principiantes aquí:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
¡Atención!
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos con software de terceros, puede causar la pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede aumentar el precio (agregan su tarifa a la nuestra) o puede convertirse en víctima de una estafa.

El archivo de texto soltado por la amenaza contiene el siguiente mensaje:

¡¡¡Todos sus archivos están encriptados!!!
Para descifrarlos, envíe un correo electrónico a esta dirección: backjohn131@gmail.com.
Si no respondemos en 24h., envíe un correo electrónico a esta dirección: backjohn@tutanota.com