HWABAG Ransomware versleutelt uw bestanden

Bij onderzoek van nieuwe malwaremonsters hebben we HWABAG geïdentificeerd als een ransomwarevariant die verband houdt met de Dharma-familie. HWABAG functioneert door bestanden te versleutelen, hun namen te wijzigen en twee losgeldbriefjes af te leveren: één via een pop-upvenster en één in de vorm van een "HWABAG.txt"-bestand.

HWABAG wijzigt de bestandsnamen door de ID van het slachtoffer, het e-mailadres cobson@hwabag.us en de extensie ".HWABAG" toe te voegen. "1.jpg" wordt bijvoorbeeld "1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG" en "2.png" verandert in "2.png.id-9ECFA84E.[cobson@hwabag .us].HWABAG", enzovoort.

De losgeldbrief bevestigt de versleuteling van alle bestanden en adviseert het slachtoffer om het bestandsherstel te starten door een thread op een specifieke website te plaatsen, inclusief een ID in de onderwerpregel. Als er binnen 24 uur geen reactie is, wordt het slachtoffer in de notitie gevraagd contact op te nemen met het opgegeven e-mailadres (cobson@hwabag.us).

Betaling voor decodering wordt gevraagd in Bitcoins, waarbij het bedrag afhankelijk is van snelle communicatie. Bij betaling wordt een decoderingstool toegezegd. Bovendien biedt de notitie gratis decodering voor maximaal 5 bestanden met een beperkte grootte en inhoud. Ten slotte waarschuwt het voor het hernoemen van gecodeerde bestanden of het gebruik van software van derden voor decodering, omdat dit kan leiden tot permanent gegevensverlies of hogere kosten.

HWABAG's twee losgeldbriefjes

De korte versie van de losgeldbrief gegenereerd door HWABAG in het bestand "HWABAG.txt" luidt als volgt:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us

De langere versie die in het pop-upvenster wordt weergegeven, gebruikt het gebruikelijke Dharma-sjabloon en gaat als volgt:

HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hoe kan ransomware zoals HWABAG uw systeem infecteren?

Ransomware zoals HWABAG kan uw systeem op verschillende manieren infecteren, waarbij vaak gebruik wordt gemaakt van kwetsbaarheden of misleidende tactieken. Hier zijn enkele veelvoorkomende methoden:

Phishing-e-mails: Een veelgebruikte methode is het versturen van phishing-e-mails met kwaadaardige bijlagen of links. Deze e-mails kunnen er legitiem uitzien, waarbij ze zich vaak voordoen als bekende bedrijven of individuen, en gebruikers ertoe verleiden op de bijlage of link te klikken, waarna de ransomware wordt gedownload en uitgevoerd.

Schadelijke websites: Het bezoeken van gecompromitteerde of kwaadaardige websites kan ook leiden tot ransomware-infecties. Deze websites kunnen exploitkits bevatten die automatisch ransomware downloaden en installeren op het systeem van de bezoeker, zonder hun medeweten of toestemming.

Kwetsbaarheden misbruiken: Ransomware kan beveiligingskwetsbaarheden in software of besturingssystemen misbruiken om toegang te krijgen tot een systeem. Verouderde software, niet-gepatchte systemen of een gebrek aan beveiligingsupdates kunnen systemen kwetsbaar maken voor dergelijke aanvallen.

Malvertising: Schadelijke advertenties, of malvertisements, kunnen gebruikers omleiden naar websites die ransomware hosten of automatische downloads van ransomware naar hun systemen initiëren zonder hun tussenkomst.

Drive-by downloads: Ransomware kan ook worden geleverd via drive-by downloads, waarbij malware zonder medeweten of toestemming van een gebruiker wordt gedownload en op het systeem van een gebruiker geïnstalleerd, simpelweg door een gecompromitteerde website te bezoeken.

Remote Desktop Protocol (RDP)-aanvallen: Aanvallers kunnen zwakke of standaardreferenties voor externe desktopverbindingen misbruiken om ongeoorloofde toegang tot systemen te verkrijgen en ransomware te implementeren.

Softwarekwetsbaarheden: Kwetsbaarheden in softwareapplicaties die op een systeem zijn geïnstalleerd, kunnen worden misbruikt om ransomware uit te voeren. Dit omvat kwetsbaarheden in veelgebruikte software zoals webbrowsers, kantoorsuites of plug-ins.

Om het risico op ransomware-infecties te beperken, is het essentieel om up-to-date beveiligingsmaatregelen te nemen, zoals het gebruik van gerenommeerde antivirussoftware, het regelmatig updaten van software en besturingssystemen, het oppassen voor ongevraagde e-mails of bijlagen en het implementeren van sterke authenticatiemethoden voor toegang op afstand. Bovendien kunnen regelmatige back-ups van belangrijke gegevens die op veilige locaties zijn opgeslagen, de impact van een ransomware-aanval helpen verzachten.