HWABAG Ransomware užšifruos jūsų failus

Ištyrę naujus kenkėjiškų programų pavyzdžius, nustatėme, kad HWABAG yra išpirkos reikalaujančios programos variantas, susietas su Dharma šeima. HWABAG veikia šifruodama failus, keisdama jų pavadinimus ir pristatydama du išpirkos raštelius: vieną per iššokantįjį langą, o kitą – „HWABAG.txt“ failo pavidalu.

HWABAG pakeičia failų pavadinimus pridėdama aukos ID, cobson@hwabag.us el. pašto adresą ir plėtinį ".HWABAG". Pavyzdžiui, „1.jpg“ tampa „1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG“, o „2.png“ pakeičiama į „2.png.id-9ECFA84E.[cobson@hwabag“ .us].HWABAG“ ir pan.

Išpirkos raštas patvirtina visų failų šifravimą ir pataria aukai inicijuoti failo atkūrimą paskelbiant giją nurodytoje svetainėje, temos eilutėje įtraukiant ID. Jei per 24 valandas neatsakoma, auka nurodoma susisiekti nurodytu el. pašto adresu (cobson@hwabag.us).

Mokėti už iššifravimą prašoma Bitcoinais, kurių suma priklauso nuo greito ryšio. Sumokėjus įkeičiamas iššifravimo įrankis. Be to, užrašas siūlo nemokamą iki 5 riboto dydžio ir turinio failų iššifravimą. Galiausiai, jis įspėja nepervardyti šifruotų failų arba naudoti trečiosios šalies programinę įrangą iššifravimui, nes tai gali sukelti nuolatinį duomenų praradimą arba padidinti išlaidas.

Du HWABAG išpirkos užrašai

Trumpa išpirkos lakšto versija, kurią HWABAG sugeneravo „HWABAG.txt“ faile, skamba taip:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us

Ilgesnė versija, kuri rodoma iššokančiame lange, naudoja įprastą Dharma šabloną ir vyksta taip:

HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Kaip „Ransomware“, pvz., HWABAG, gali užkrėsti jūsų sistemą?

Išpirkos reikalaujančios programos, tokios kaip HWABAG, gali užkrėsti jūsų sistemą įvairiomis priemonėmis, dažnai išnaudodamos pažeidžiamumą arba naudodamos apgaulingą taktiką. Štai keli įprasti metodai:

Sukčiavimo el. laiškai: vienas paplitęs būdas yra sukčiavimo el. laiškai, kuriuose yra kenkėjiškų priedų ar nuorodų. Šie el. laiškai gali atrodyti teisėti, dažnai apsimetinėjantys gerai žinomomis įmonėmis ar asmenimis ir priversti vartotojus spustelėti priedą arba nuorodą, kuri vėliau atsisiunčia ir paleidžia išpirkos reikalaujančią programinę įrangą.

Kenkėjiškos svetainės: apsilankymas pažeistose arba kenkėjiškose svetainėse taip pat gali sukelti išpirkos reikalaujančių programų užkrėtimą. Šiose svetainėse gali būti išnaudojimo rinkinių, kurie automatiškai atsisiunčia ir įdiegia išpirkos reikalaujančią programinę įrangą į lankytojo sistemą be jo žinios ar sutikimo.

Pažeidžiamumų išnaudojimas: „Ransomware“ gali išnaudoti programinės įrangos ar operacinių sistemų saugumo spragas, kad gautų prieigą prie sistemos. Pasenusi programinė įranga, nepataisytos sistemos arba saugos naujinimų trūkumas gali padaryti sistemas pažeidžiamas tokioms atakoms.

Kenkėjiška reklama: kenkėjiška reklama gali nukreipti vartotojus į svetaines, kuriose yra išpirkos reikalaujančios programos, arba inicijuoti automatinį išpirkos reikalaujančių programų atsisiuntimą į jų sistemas be jų sąveikos.

Atsisiuntimai pagal vairuotoją: „Ransomware“ taip pat gali būti pristatomi naudojant „Drive-by“ atsisiuntimus, kai kenkėjiška programa atsisiunčiama ir įdiegiama į vartotojo sistemą be jo žinios ar sutikimo tiesiog apsilankius pažeistoje svetainėje.

Nuotolinio darbalaukio protokolo (RDP) atakos: užpuolikai gali išnaudoti silpnus arba numatytuosius nuotolinio darbalaukio ryšio kredencialus, kad gautų neteisėtą prieigą prie sistemų ir įdiegtų išpirkos reikalaujančias programas.

Programinės įrangos pažeidžiamumas: sistemoje įdiegtų programinės įrangos programų pažeidžiamumas gali būti išnaudojamas siekiant vykdyti išpirkos reikalaujančią programinę įrangą. Tai apima dažnai naudojamos programinės įrangos, pvz., žiniatinklio naršyklių, biuro rinkinių ar papildinių, pažeidžiamumą.

Norint sumažinti išpirkos reikalaujančios programinės įrangos užkrėtimo riziką, labai svarbu laikytis naujausių saugumo priemonių, pvz., naudoti patikimą antivirusinę programinę įrangą, reguliariai atnaujinti programinę įrangą ir operacines sistemas, saugotis nepageidaujamų el. laiškų ar priedų ir diegti patikimus nuotolinės prieigos autentifikavimo metodus. Be to, reguliarios svarbių duomenų, saugomų saugiose vietose, atsarginės kopijos gali padėti sušvelninti išpirkos reikalaujančios programos atakos poveikį.