HWABAG Ransomware vil kryptere filene dine

Etter å ha undersøkt nye skadevareprøver, har vi utpekt HWABAG som en løsepengevarevariant knyttet til Dharma-familien. HWABAG fungerer ved å kryptere filer, endre navnene deres og levere to løsepenger: en via et popup-vindu og en annen i form av en "HWABAG.txt"-fil.

HWABAG endrer filnavn ved å legge til offerets ID, cobson@hwabag.us e-postadresse og utvidelsen ".HWABAG". For eksempel, "1.jpg" blir "1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG", og "2.png" endres til "2.png.id-9ECFA84E.[cobson@hwabag" .us].HWABAG", og så videre.

Løsepengene bekrefter krypteringen av alle filer og råder offeret til å starte filgjenoppretting ved å legge ut en tråd på et spesifisert nettsted, inkludert en ID i emnelinjen. I tilfelle ingen svar innen 24 timer, ber lappen offeret om å kontakte den oppgitte e-postadressen (cobson@hwabag.us).

Betaling for dekryptering kreves i Bitcoins, hvor beløpet avhenger av rask kommunikasjon. Ved betaling er et dekrypteringsverktøy pantsatt. I tillegg tilbyr notatet gratis dekryptering for opptil 5 filer med begrenset størrelse og innhold. Til slutt advarer den mot å gi nytt navn til krypterte filer eller bruke tredjepartsprogramvare for dekryptering, da det kan føre til permanent tap av data eller økte kostnader.

HWABAGs to løsepenger

Den korte versjonen av løsepengene generert av HWABAG inne i "HWABAG.txt"-filen lyder som følger:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us

Den lengre versjonen som vises inne i popup-vinduet bruker den vanlige Dharma-malen og går som følger:

HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hvordan kan ransomware som HWABAG infisere systemet ditt?

Ransomware som HWABAG kan infisere systemet ditt på forskjellige måter, ofte ved å utnytte sårbarheter eller bruke villedende taktikker. Her er noen vanlige metoder:

Phishing-e-poster: En vanlig metode er gjennom phishing-e-poster som inneholder ondsinnede vedlegg eller lenker. Disse e-postene kan virke legitime, ofte etterligne velkjente selskaper eller enkeltpersoner, og lure brukere til å klikke på vedlegget eller lenken, som deretter laster ned og kjører løsepengevaren.

Ondsinnede nettsteder: Å besøke kompromitterte eller ondsinnede nettsteder kan også føre til ransomware-infeksjon. Disse nettstedene kan inneholde utnyttelsessett som automatisk laster ned og installerer løsepengeprogramvare på den besøkendes system uten deres viten eller samtykke.

Utnyttelse av sårbarheter: Ransomware kan utnytte sikkerhetssårbarheter i programvare eller operativsystemer for å få tilgang til et system. Utdatert programvare, uoppdaterte systemer eller mangel på sikkerhetsoppdateringer kan gjøre systemer sårbare for slike angrep.

Malvertising: Ondsinnede annonser, eller malvertisements, kan omdirigere brukere til nettsteder som er vert for løsepengeprogramvare eller starte automatiske nedlastinger av løsepengeprogramvare til systemene deres uten deres interaksjon.

Drive-by-nedlastinger: Ransomware kan også leveres gjennom drive-by-nedlastinger, der skadelig programvare lastes ned og installeres på en brukers system uten deres viten eller samtykke, bare ved å besøke et kompromittert nettsted.

Remote Desktop Protocol (RDP)-angrep: Angripere kan utnytte svak eller standardlegitimasjon for eksterne skrivebordstilkoblinger for å få uautorisert tilgang til systemer og distribuere løsepengeprogramvare.

Programvaresårbarheter: Sårbarheter i programvare som er installert på et system kan utnyttes til å utføre løsepengeprogramvare. Dette inkluderer sårbarheter i ofte brukt programvare som nettlesere, kontorpakker eller plugins.

For å redusere risikoen for ransomware-infeksjon er det viktig å opprettholde oppdaterte sikkerhetstiltak som å bruke anerkjent antivirusprogramvare, regelmessig oppdatering av programvare og operativsystemer, være forsiktig med uønskede e-poster eller vedlegg, og implementere sterke autentiseringsmetoder for ekstern tilgang. I tillegg kan regelmessige sikkerhetskopier av viktige data lagret på sikre steder bidra til å redusere virkningen av et løsepenge-angrep.