Liczba ataków cybernetycznych stale rośnie, a cyberprzestępcy wykorzystują coraz bardziej wyrafinowane metody ataków, które omijają rozbudowane systemy zabezpieczeń stosowane w nowoczesnych systemach operacyjnych. Systemu operacyjne Windows, macOS, Linux oraz Android narażone są na wiele typów ataków, a do sieci co chwilę trafiają nowe, niezidentyfikowane zagrożenia.

Ostatnimi czasy cyberprzestępcy wykorzystują ataki ransomware typu BBBW. Atak tego typu przejawia się obecnością plików z rozszerzeniem .BBBW na komputerze użytkownika. Rozszerzenie to nie jest rozpoznawane przez system operacyjny, który uniemożliwia otwarcie pliku. Często razem z plikami .BBBW na komputerze pojawiają się dokumenty tekstowe, w których znajduje się informacja, że dane na komputerze zostały zaszyfrowane. Cyberprzestępcy żądają wysokich okupów w celu dostępu do narzędzia deszyfrującego, które przywraca dostęp do zaszyfrowanych danych.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem

Ataki ransmoware BBBW polegają na zaszyfrowaniu danych i uniemożliwieniu dostępu do nich dla użytkownika. Według atakujących jedyną opcją na odzyskanie dostępu do plików jest zapłacenie okupu. Czy to prawda? W niniejszym materiale poruszamy tematykę ataków BBBW. Czy warto płacić okup, aby odzyskać pliki? Czy istnienie inna droga rozwiązania problemu?

Ataki ransomware BBBW - geneza i sposób działania

Ataki BBBW są wariantem ataków ransomware. Polegają one na rozpowszechnieniu złośliwego oprogramowania, która pojawia się na komputerze użytkownika i szyfruje dostęp do prawie wszystkich plików zapisanych w popularnych formatach takich jak np. .txt, .docx, .pptx .xlsx, .rar, .zip czy innych.

Po udanym ataku wszystkie pliki użytkownika posiadają nieznane dla systemu operacyjnego rozszerzenie .BBBW, co uniemożliwia otwarcie dokumentów. Dodatkowo ręczna zmiana rozszerzenia nie rozwiązuje problemu. Po ataku przykładowy plik o nazwie "operacje.docx" otrzyma nazwę i rozszerzenie "operacje.docx.bbbw'. Oprócz zmiany rodzaju dokumentu na komputerze pojawi się dokument tekstowy umieszczony w zainfekowanym folderze.

W zależności od rodzaju ataku dokumenty tekstowe nieco różnią się od siebie. Najczęściej dostarczane są w formie pliku tekstowego w formacie .txt lub .doc/docx. W środku dokumentu znajduje się informacja dla użytkownika. Cyberprzestępcy przekazują, że dane na komputerze zostały zaszyfrowane i jedynym sposobem na ich odzyskanie jest wykorzystanie klucza deszyfrującego, który pozostaje we władaniu cyberprzestępców. Przestępcy oferują dostęp do niego w zamian za z góry określoną kwotę pieniędzy, które traktowane są jako okup. Najczęściej wątkach typu BBBW wykorzystywany jest okup przyjmowany w krytowalutach.

Aby potwierdził działanie zaproponowanego rozwiązania problemu cyberprzestępcy proponują użytkownikowi zainfekowanego komputera darmowe odszyfrowanie jednego lub dwóch dokumentów. Kontakt pomiędzy ofiarą, a cyberprzestępcami odbywa się z wykorzystaniem poczty elektronicznej.

W celu zwiększenia presji na użytkowniku zainfekowanego komputera, atakujący stosują różnego rodzaju socjotechniki. Najcześciej wykorzystywana jest zasada miłości. Cyberprzestępcy dodają do swojej wiadomości klauzulę pilności, która informuje, że jeżeli ofiara skontaktuje się z nimi w określonym czasie, otrzyma 50% upustu na zakup (zapłatę okupu) narzędzia deszyfrującego.

W tym miejscu warto podkreślić, ze osoba decydująca się na zapłacenie okupu nie ma żadnej gwarancji, że cyberprzestępcy udostępnią jej klucz deszyfrujący do plików. Nawet w przypadku zapłaty i otrzymania narzędzia deszyfrującego, pieniądze przekazane cyberprzestępcom posłużą do sfinansowania kolejnych ataków typu BBBW. Oznacza to, że zapłacenie okupu jest równoznaczne z dalszym rozpowszechnianiem się zagrożenia i zdecydowanie nie warto decydować się na takie działanie.

Co zrobić z zainfekowanym komputerem? Jak odzyskać dane po szyfrowaniu przez ransomware BBBW?

Po zaszyfrowaniu komputera z wykorzystaniem ataku typu BBBW ransomware mamy kilka możliwości odzyskania danych, które nie wymagają płacenia okupu.

Odtworzenie danych z kopii zapasowej

W sieci wiele mówi się o konieczności regularnego wykonywania kopii zapasowych. Przydadzą się one w razie ataku BBBW ransomware. Posiadając kopię zapasową danych możemy szybko przywrócić ją bez konieczności płacenia okupu. Ponieważ komputer jest zainfekowany przed przywróceniem danych należy sformatować dysk oraz zainstalować na nowo kopię systemu operacyjnego Windows. Krok ten można pominąć, w przypadku, gdy posiadamy kopię zapasową w formie całego obrazu systemu operacyjnego.

Warto pamiętać, że samo przywrócenie danych bez reinstalacji systemu operacyjnego nie przyniesie oczekiwanych rezultatów, ponieważ wirus nadal będzie obecny na naszym komputerze.

Ważne - nie wolno podłączać dysku z kopią zapasową bezpośrednio do komputera z zainfekowanym systemem. Najpierw należy reinstalować system operacyjny z wykorzystaniem innego nośnika.

Co zrobić, gdy nie stworzono kopii zapasowej?

Możliwe, że podczas ataku BBBW ransomware zainfekowano najnowsze pliki, które nie trafiły jeszcze do kopii zapasowej lub użytkownik niestety nie tworzył kopii zapasowej swoich danych. Na szczęście również w takiej sytuacji nie mamy w pełni związanych rąk. Można sprobować odzyskać dane z wykorzystaniem dostępnych w sieci deszyfratorów ransomware.

Ataki typu BBBW pochodzą z rodziny ransomware STOP/DJVU, która jest znana badaczom cyberbezpieczeństwa.

W sieci można znaleźć różnego rodzaju programy, które pomagają odszyfrować dane zaszyfrowane podczas ataku BBBW. W większości przypadków udaje się bezpłatnie odszyfrować zainfekowane dane. Jednym z popularniejszych deszyfratorów jest Emsisoft STOP DJVU Decryptor z 2019 roku.

Program do działania wymaga uprawnień administracyjnych. Oznacza to, że użytkownik zainfekowanego komputera będzie musiał złościć ten fakt do administratorów IT, którzy mogą zdecydować się na przeprowadzenie procesu deszyfrowania danych.

Po udanej próbie odzyskania danych należy zgrać je w bezpieczne miejsce, sformatować dysk startowy oraz na nowo zainstalować system operacyjny komputera.