A HWABAG Ransomware titkosítja a fájljait

Az új malware-minták vizsgálata során a HWABAG-ot a Dharma családhoz kapcsolódó ransomware-változatként határoztuk meg. A HWABAG úgy működik, hogy titkosítja a fájlokat, megváltoztatja a nevüket, és két váltságdíjat küld: az egyiket egy felugró ablakban, a másikat pedig egy "HWABAG.txt" fájl formájában.

A HWABAG megváltoztatja a fájlneveket az áldozat azonosítójának, cobson@hwabag.us e-mail címének és a „.HWABAG” kiterjesztéssel. Például az „1.jpg” a következőre változik: „1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG”, a „2.png” pedig „2.png.id-9ECFA84E.[cobson@hwabag” .us].HWABAG", és így tovább.

A váltságdíjról szóló értesítés megerősíti az összes fájl titkosítását, és azt tanácsolja az áldozatnak, hogy kezdeményezze a fájl visszaállítását úgy, hogy egy szálat közzétesz egy megadott webhelyen, a tárgyban egy azonosítót is feltüntetve. Ha 24 órán belül nem érkezik válasz, a feljegyzés felszólítja az áldozatot, hogy lépjen kapcsolatba a megadott e-mail címen (cobson@hwabag.us).

A visszafejtésért Bitcoinban kell fizetni, az összeg a gyors kommunikációtól függ. Fizetéskor egy visszafejtő eszközt biztosítunk. Ezenkívül a jegyzet ingyenes visszafejtést kínál legfeljebb 5 korlátozott méretű és tartalmú fájlhoz. Végül óva int a titkosított fájlok átnevezésétől vagy a harmadik féltől származó szoftverek visszafejtéséhez, mivel ez tartós adatvesztést vagy megnövekedett költségeket eredményezhet.

A HWABAG két váltságdíj-jegyzete

A HWABAG által a "HWABAG.txt" fájlban generált váltságdíj rövid változata a következő:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us

A felugró ablakban megjelenő hosszabb verzió a szokásos Dharma sablont használja, és a következőképpen zajlik:

HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hogyan fertőzheti meg a rendszerét a Ransomware, mint a HWABAG?

Az olyan zsarolóvírusok, mint a HWABAG, különféle módon megfertőzhetik a rendszert, gyakran kihasználva a sebezhetőségeket vagy megtévesztő taktikákat alkalmazva. Íme néhány általános módszer:

Adathalász e-mailek: Az egyik elterjedt módszer a rosszindulatú mellékleteket vagy hivatkozásokat tartalmazó adathalász e-mailek. Ezek az e-mailek jogosnak tűnhetnek, gyakran jól ismert cégeknek vagy személyeknek adják ki magukat, és ráveszik a felhasználókat, hogy rákattintsák a mellékletre vagy linkre, amely aztán letölti és végrehajtja a zsarolóprogramot.

Rosszindulatú webhelyek: A feltört vagy rosszindulatú webhelyek látogatása ransomware fertőzéshez is vezethet. Ezek a webhelyek olyan kizsákmányoló készleteket tartalmazhatnak, amelyek automatikusan letöltik és telepítik a zsarolóprogramokat a látogató rendszerére a látogató tudta vagy beleegyezése nélkül.

A sérülékenységek kihasználása: A Ransomware kihasználhatja a szoftverek vagy operációs rendszerek biztonsági réseit, hogy hozzáférjen egy rendszerhez. Az elavult szoftverek, a javítatlan rendszerek vagy a biztonsági frissítések hiánya sebezhetővé teheti a rendszereket az ilyen támadásokkal szemben.

Rosszindulatú hirdetések: A rosszindulatú hirdetések vagy rosszindulatú hirdetések átirányíthatják a felhasználókat ransomware-t tároló webhelyekre, vagy zsarolóprogramok automatikus letöltését kezdeményezhetik a rendszerükre anélkül, hogy interakciójuk lenne.

Drive-by-letöltések: A Ransomware Drive-by letöltésekkel is szállítható, amikor a rosszindulatú program letöltése és telepítése a felhasználó tudta vagy beleegyezése nélkül történik, pusztán egy feltört webhely meglátogatásával.

Távoli asztali protokoll (RDP) támadások: A támadók a távoli asztali kapcsolatok gyenge vagy alapértelmezett hitelesítő adatait kihasználva jogosulatlan hozzáférést szerezhetnek a rendszerekhez és zsarolóprogramokat telepíthetnek.

Szoftver sebezhetőségei: A rendszerre telepített szoftveralkalmazások sebezhetőségei kihasználhatók ransomware végrehajtására. Ide tartoznak az olyan gyakran használt szoftverek sebezhetőségei, mint a webböngészők, irodai programcsomagok vagy bővítmények.

A zsarolóprogram-fertőzés kockázatának csökkentése érdekében elengedhetetlen a naprakész biztonsági intézkedések fenntartása, például jó hírű vírusirtó szoftver használata, a szoftverek és operációs rendszerek rendszeres frissítése, a kéretlen e-mailek és mellékletek körültekintése, valamint erős hitelesítési módszerek alkalmazása a távoli hozzáféréshez. Ezenkívül a biztonságos helyen tárolt fontos adatok rendszeres biztonsági mentése segíthet mérsékelni a zsarolóvírus-támadások hatását.