HWABAG Ransomware verschlüsselt Ihre Dateien

Bei der Untersuchung neuer Malware-Beispiele haben wir HWABAG als eine Ransomware-Variante identifiziert, die mit der Dharma-Familie in Verbindung steht. HWABAG funktioniert, indem es Dateien verschlüsselt, ihre Namen ändert und zwei Lösegeldforderungen übermittelt: eine über ein Popup-Fenster und eine andere in Form einer „HWABAG.txt“-Datei.

HWABAG ändert Dateinamen, indem es die ID des Opfers, die E-Mail-Adresse cobson@hwabag.us und die Erweiterung „.HWABAG“ anhängt. Beispielsweise wird „1.jpg“ zu „1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG“, und „2.png“ wird zu „2.png.id-9ECFA84E.[cobson@hwabag.us].HWABAG“ und so weiter.

Der Erpresserbrief bestätigt die Verschlüsselung aller Dateien und rät dem Opfer, die Wiederherstellung der Dateien zu initiieren, indem es einen Thread auf einer angegebenen Website veröffentlicht, der eine ID in der Betreffzeile enthält. Falls innerhalb von 24 Stunden keine Antwort erfolgt, wird das Opfer in der Nachricht angewiesen, die angegebene E-Mail-Adresse (cobson@hwabag.us) zu kontaktieren.

Die Zahlung für die Entschlüsselung wird in Bitcoins verlangt, wobei der Betrag von einer schnellen Kommunikation abhängt. Bei Zahlung wird ein Entschlüsselungstool zugesichert. Darüber hinaus bietet die Notiz eine kostenlose Entschlüsselung für bis zu 5 Dateien mit begrenzter Größe und begrenztem Inhalt. Schließlich wird davor gewarnt, verschlüsselte Dateien umzubenennen oder Software von Drittanbietern zur Entschlüsselung zu verwenden, da dies zu dauerhaftem Datenverlust oder erhöhten Kosten führen kann.

Die beiden Lösegeldforderungen von HWABAG

Die Kurzfassung des von HWABAG generierten Lösegeldbriefs in der Datei „HWABAG.txt“ lautet wie folgt:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us

Die längere Version, die im Popup-Fenster angezeigt wird, verwendet die übliche Dharma-Vorlage und lautet wie folgt:

HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Wie kann Ransomware wie HWABAG Ihr System infizieren?

Ransomware wie HWABAG kann Ihr System auf verschiedene Weise infizieren. Häufig werden Schwachstellen ausgenutzt oder betrügerische Taktiken eingesetzt. Hier sind einige gängige Methoden:

Phishing-E-Mails: Eine gängige Methode sind Phishing-E-Mails mit schädlichen Anhängen oder Links. Diese E-Mails können legitim erscheinen und geben sich oft als bekannte Unternehmen oder Personen aus. Benutzer werden dazu verleitet, auf den Anhang oder Link zu klicken, wodurch die Ransomware heruntergeladen und ausgeführt wird.

Bösartige Websites: Der Besuch kompromittierter oder bösartiger Websites kann ebenfalls zu einer Infektion mit Ransomware führen. Diese Websites können Exploit-Kits enthalten, die automatisch Ransomware auf das System des Besuchers herunterladen und installieren, ohne dass dieser davon weiß oder sein Einverständnis einwilligt.

Ausnutzen von Schwachstellen: Ransomware kann Sicherheitslücken in Software oder Betriebssystemen ausnutzen, um Zugriff auf ein System zu erhalten. Veraltete Software, ungepatchte Systeme oder fehlende Sicherheitsupdates können Systeme für solche Angriffe anfällig machen.

Malvertising: Bösartige Werbung oder Malvertisements können Benutzer ohne ihr Zutun auf Websites umleiten, die Ransomware hosten, oder automatische Downloads von Ransomware auf ihre Systeme veranlassen.

Drive-by-Downloads: Ransomware kann auch durch Drive-by-Downloads verbreitet werden. Dabei wird Malware ohne das Wissen oder die Zustimmung eines Benutzers heruntergeladen und auf seinem System installiert, indem einfach eine kompromittierte Website besucht wird.

Remote Desktop Protocol (RDP)-Angriffe: Angreifer können schwache oder standardmäßige Anmeldeinformationen für Remotedesktopverbindungen ausnutzen, um unbefugten Zugriff auf Systeme zu erhalten und Ransomware zu installieren.

Software-Schwachstellen: Schwachstellen in auf einem System installierten Softwareanwendungen können ausgenutzt werden, um Ransomware auszuführen. Dazu gehören Schwachstellen in häufig verwendeter Software wie Webbrowsern, Office-Suiten oder Plug-Ins.

Um das Risiko einer Ransomware-Infektion zu verringern, ist es wichtig, aktuelle Sicherheitsmaßnahmen zu ergreifen, z. B. eine bewährte Antivirensoftware zu verwenden, Software und Betriebssysteme regelmäßig zu aktualisieren, bei unerwünschten E-Mails oder Anhängen vorsichtig zu sein und starke Authentifizierungsmethoden für den Fernzugriff zu implementieren. Darüber hinaus können regelmäßige Backups wichtiger, an sicheren Orten gespeicherter Daten dazu beitragen, die Auswirkungen eines Ransomware-Angriffs zu verringern.