HWABAG Ransomware criptografará seus arquivos

Ao examinar novas amostras de malware, identificamos o HWABAG como uma variante de ransomware ligada à família Dharma. O HWABAG funciona ao encriptar ficheiros, alterar os seus nomes e entregar duas notas de resgate: uma através de uma janela pop-up e outra na forma de um ficheiro "HWABAG.txt".

O HWABAG altera os nomes dos arquivos anexando o ID da vítima, o endereço de e-mail cobson@hwabag.us e a extensão ".HWABAG". Por exemplo, "1.jpg" torna-se "1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG" e "2.png" muda para "2.png.id-9ECFA84E.[cobson@hwabag .us].HWABAG" e assim por diante.

A nota de resgate confirma a criptografia de todos os arquivos e aconselha a vítima a iniciar a restauração do arquivo postando um tópico em um site específico, incluindo um ID na linha de assunto. Caso não haja resposta em 24 horas, a nota orienta a vítima a entrar em contato com o endereço de e-mail fornecido (cobson@hwabag.us).

O pagamento pela descriptografia é solicitado em Bitcoins, e o valor depende da agilidade da comunicação. Após o pagamento, uma ferramenta de descriptografia é prometida. Além disso, a nota oferece descriptografia gratuita para até 5 arquivos de tamanho e conteúdo limitados. Por último, adverte contra renomear ficheiros encriptados ou usar software de terceiros para desencriptação, pois pode resultar na perda permanente de dados ou aumento de custos.

Duas notas de resgate da HWABAG

A versão resumida da nota de resgate gerada pelo HWABAG dentro do arquivo “HWABAG.txt” é a seguinte:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us

A versão mais longa exibida na janela pop-up usa o modelo usual do Dharma e é a seguinte:

HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Como um ransomware como o HWABAG pode infectar seu sistema?

Ransomware como o HWABAG podem infectar seu sistema de vários meios, muitas vezes explorando vulnerabilidades ou usando táticas enganosas. Aqui estão alguns métodos comuns:

E-mails de phishing: um método predominante é por meio de e-mails de phishing contendo anexos ou links maliciosos. Esses e-mails podem parecer legítimos, muitas vezes se passando por empresas ou indivíduos conhecidos e induzir os usuários a clicar no anexo ou link, que então baixa e executa o ransomware.

Sites maliciosos: visitar sites comprometidos ou maliciosos também pode levar à infecção por ransomware. Esses sites podem conter kits de exploração que baixam e instalam automaticamente ransomware no sistema do visitante sem o seu conhecimento ou consentimento.

Explorando vulnerabilidades: O ransomware pode explorar vulnerabilidades de segurança em software ou sistemas operacionais para obter acesso a um sistema. Software desatualizado, sistemas sem patches ou falta de atualizações de segurança podem deixar os sistemas vulneráveis a tais ataques.

Malvertising: Anúncios maliciosos, ou malvertisements, podem redirecionar os usuários para sites que hospedam ransomware ou iniciar downloads automáticos de ransomware em seus sistemas sem sua interação.

Downloads drive-by: O ransomware também pode ser entregue por meio de downloads drive-by, onde o malware é baixado e instalado no sistema de um usuário sem seu conhecimento ou consentimento, simplesmente visitando um site comprometido.

Ataques de protocolo de área de trabalho remota (RDP): os invasores podem explorar credenciais fracas ou padrão para conexões de área de trabalho remota para obter acesso não autorizado aos sistemas e implantar ransomware.

Vulnerabilidades de software: Vulnerabilidades em aplicativos de software instalados em um sistema podem ser exploradas para executar ransomware. Isso inclui vulnerabilidades em softwares comumente usados, como navegadores da web, suítes de escritório ou plug-ins.

Para mitigar o risco de infecção por ransomware, é essencial manter medidas de segurança atualizadas, como usar software antivírus confiável, atualizar software e sistemas operacionais regularmente, ter cuidado com e-mails ou anexos não solicitados e implementar métodos de autenticação fortes para acesso remoto. Além disso, backups regulares de dados importantes armazenados em locais seguros podem ajudar a mitigar o impacto de um ataque de ransomware.