HWABAGランサムウェアはファイルを暗号化します
新しいマルウェア サンプルを調査した結果、HWABAG が Dharma ファミリーに関連するランサムウェアの亜種であることが判明しました。HWABAG は、ファイルを暗号化し、名前を変更し、2 つの身代金要求メッセージ (1 つはポップアップ ウィンドウ経由、もう 1 つは「HWABAG.txt」ファイルの形式) を送信することで機能します。
HWABAG は、被害者の ID、cobson@hwabag.us の電子メール アドレス、および「.HWABAG」拡張子を追加してファイル名を変更します。たとえば、「1.jpg」は「1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG」になり、「2.png」は「2.png.id-9ECFA84E.[cobson@hwabag.us].HWABAG」に変わります。
身代金要求メッセージでは、すべてのファイルが暗号化されたことを確認し、件名に ID を含めて指定された Web サイトにスレッドを投稿してファイルの復元を開始するよう被害者にアドバイスしています。24 時間以内に応答がない場合は、指定された電子メール アドレス (cobson@hwabag.us) に連絡するよう被害者に指示しています。
復号化の支払いはビットコインで行われ、金額は迅速なコミュニケーションによって決まります。支払い後、復号化ツールが提供されます。さらに、このメモでは、サイズとコンテンツが制限された最大 5 つのファイルの復号化を無料で提供しています。最後に、暗号化されたファイルの名前を変更したり、サードパーティのソフトウェアを使用して復号化したりすることは、永久的なデータ損失やコストの増加につながる可能性があるため、行わないよう警告しています。
HWABAG の 2 つの身代金要求書
「HWABAG.txt」ファイル内に HWABAG によって生成された身代金要求メッセージの簡潔なバージョンは次のとおりです。
all your data has been turned into coal
You want to return?
post thread on this website hxxps://soyjak.party/raid/
If no answer in 24 hours write here: cobson@hwabag.us
ポップアップ ウィンドウ内に表示される長いバージョンでは、通常の Dharma テンプレートが使用され、次のようになります。
HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
HWABAG のようなランサムウェアはどのようにしてシステムに感染するのでしょうか?
HWABAG のようなランサムウェアは、さまざまな手段でシステムに感染する可能性があります。多くの場合、脆弱性を悪用したり、欺瞞的な戦術を使用したりします。一般的な方法は次のとおりです。
フィッシング メール:最も一般的な方法の 1 つは、悪意のある添付ファイルやリンクを含むフィッシング メールです。これらのメールは正規のメールのように見え、よく知られている企業や個人になりすまし、ユーザーを騙して添付ファイルやリンクをクリックさせ、ランサムウェアをダウンロードして実行させます。
悪意のある Web サイト:侵害された Web サイトや悪意のある Web サイトにアクセスすると、ランサムウェアに感染する可能性もあります。これらの Web サイトには、訪問者の知らないうちに、または同意なしにランサムウェアを自動的にダウンロードして訪問者のシステムにインストールするエクスプロイト キットが含まれている場合があります。
脆弱性の悪用:ランサムウェアは、ソフトウェアまたはオペレーティング システムのセキュリティの脆弱性を悪用してシステムにアクセスする可能性があります。古いソフトウェア、パッチが適用されていないシステム、またはセキュリティ更新がないと、システムがこのような攻撃に対して脆弱になる可能性があります。
マルバタイジング:悪意のある広告、つまりマルバタイジングは、ユーザーをランサムウェアをホストしている Web サイトにリダイレクトしたり、ユーザーの操作なしにランサムウェアの自動ダウンロードを開始したりする可能性があります。
ドライブバイ ダウンロード:ランサムウェアは、ドライブバイ ダウンロードを通じて配布されることもあります。ドライブバイ ダウンロードでは、侵害された Web サイトにアクセスするだけで、ユーザーの知らないうちに、または同意なしにマルウェアがユーザーのシステムにダウンロードされ、インストールされます。
リモート デスクトップ プロトコル (RDP) 攻撃:攻撃者は、リモート デスクトップ接続の弱い資格情報やデフォルトの資格情報を悪用して、システムに不正にアクセスし、ランサムウェアを展開する可能性があります。
ソフトウェアの脆弱性:システムにインストールされているソフトウェア アプリケーションの脆弱性が悪用され、ランサムウェアが実行される場合があります。これには、Web ブラウザー、オフィス スイート、プラグインなどの一般的に使用されるソフトウェアの脆弱性が含まれます。
ランサムウェア感染のリスクを軽減するには、信頼できるウイルス対策ソフトウェアの使用、ソフトウェアとオペレーティング システムの定期的な更新、迷惑メールや添付ファイルへの注意、リモート アクセス用の強力な認証方法の実装など、最新のセキュリティ対策を維持することが不可欠です。さらに、重要なデータを安全な場所に保存して定期的にバックアップしておくと、ランサムウェア攻撃の影響を軽減するのに役立ちます。
