HWABAG Ransomware cifrará sus archivos

Al examinar nuevas muestras de malware, identificamos a HWABAG como una variante de ransomware vinculada a la familia Dharma. HWABAG funciona cifrando archivos, alterando sus nombres y entregando dos notas de rescate: una a través de una ventana emergente y otra en forma de archivo "HWABAG.txt".

HWABAG altera los nombres de los archivos agregando la identificación de la víctima, la dirección de correo electrónico cobson@hwabag.us y la extensión ".HWABAG". Por ejemplo, "1.jpg" se convierte en "1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG", y "2.png" cambia a "2.png.id-9ECFA84E.[cobson@hwabag .us].HWABAG", y así sucesivamente.

La nota de rescate confirma el cifrado de todos los archivos y aconseja a la víctima que inicie la restauración del archivo publicando un hilo en un sitio web específico, incluyendo una identificación en la línea de asunto. En caso de que no haya respuesta dentro de las 24 horas, la nota indica a la víctima que se comunique con la dirección de correo electrónico proporcionada (cobson@hwabag.us).

El pago por el descifrado se solicita en Bitcoins y el monto depende de una comunicación rápida. Tras el pago, se promete una herramienta de descifrado. Además, la nota ofrece descifrado gratuito de hasta 5 archivos de tamaño y contenido limitados. Por último, advierte contra el cambio de nombre de archivos cifrados o el uso de software de terceros para descifrarlos, ya que puede provocar una pérdida permanente de datos o un aumento de costos.

Las dos notas de rescate de HWABAG

La versión breve de la nota de rescate generada por HWABAG dentro del archivo "HWABAG.txt" dice lo siguiente:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us

La versión más larga que se muestra dentro de la ventana emergente utiliza la plantilla habitual de Dharma y dice lo siguiente:

HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

¿Cómo puede un ransomware como HWABAG infectar su sistema?

El ransomware como HWABAG puede infectar su sistema a través de diversos medios, a menudo aprovechando vulnerabilidades o utilizando tácticas engañosas. A continuación se muestran algunos métodos comunes:

Correos electrónicos de phishing: un método frecuente es a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Estos correos electrónicos pueden parecer legítimos, a menudo haciéndose pasar por empresas o individuos conocidos, y engañan a los usuarios para que hagan clic en el archivo adjunto o enlace, que luego descarga y ejecuta el ransomware.

Sitios web maliciosos: visitar sitios web comprometidos o maliciosos también puede provocar una infección de ransomware. Estos sitios web pueden contener kits de explotación que descargan e instalan automáticamente ransomware en el sistema del visitante sin su conocimiento o consentimiento.

Explotación de vulnerabilidades: el ransomware puede explotar vulnerabilidades de seguridad en el software o los sistemas operativos para obtener acceso a un sistema. El software obsoleto, los sistemas sin parches o la falta de actualizaciones de seguridad pueden hacer que los sistemas sean vulnerables a este tipo de ataques.

Publicidad maliciosa: los anuncios maliciosos pueden redirigir a los usuarios a sitios web que alojan ransomware o iniciar descargas automáticas de ransomware en sus sistemas sin su interacción.

Descargas no autorizadas: el ransomware también se puede entregar a través de descargas no autorizadas, donde el malware se descarga e instala en el sistema de un usuario sin su conocimiento o consentimiento simplemente visitando un sitio web comprometido.

Ataques de protocolo de escritorio remoto (RDP): los atacantes pueden explotar credenciales débiles o predeterminadas para conexiones de escritorio remoto para obtener acceso no autorizado a los sistemas e implementar ransomware.

Vulnerabilidades de software: las vulnerabilidades en las aplicaciones de software instaladas en un sistema pueden aprovecharse para ejecutar ransomware. Esto incluye vulnerabilidades en software de uso común, como navegadores web, suites ofimáticas o complementos.

Para mitigar el riesgo de infección de ransomware, es esencial mantener medidas de seguridad actualizadas, como usar software antivirus confiable, actualizar periódicamente el software y los sistemas operativos, tener cuidado con los correos electrónicos o archivos adjuntos no solicitados e implementar métodos de autenticación sólidos para el acceso remoto. Además, las copias de seguridad periódicas de datos importantes almacenados en ubicaciones seguras pueden ayudar a mitigar el impacto de un ataque de ransomware.