HWABAG 勒索软件将加密您的文件

在检查新的恶意软件样本后，我们已确定 HWABAG 是与 Dharma 家族相关的勒索软件变种。HWABAG 的功能是加密文件、更改文件名称并发送两封勒索信：一封通过弹出窗口发送，另一封以“HWABAG.txt”文件的形式发送。

HWABAG 会通过附加受害者的 ID、cobson@hwabag.us 电子邮件地址和“.HWABAG”扩展名来更改文件名。例如，“1.jpg”会变成“1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG”，而“2.png”会变成“2.png.id-9ECFA84E.[cobson@hwabag.us].HWABAG”，依此类推。

勒索信确认所有文件均已加密，并建议受害者通过在指定网站上发布帖子（主题行中包含 ID）来启动文件恢复。如果 24 小时内没有回复，该信会指示受害者联系所提供的电子邮件地址 (cobson@hwabag.us)。

解密费用以比特币支付，金额取决于通信速度。付款后，将承诺提供解密工具。此外，该说明还为最多 5 个文件提供免费解密，文件大小和内容均有限制。最后，它警告不要重命名加密文件或使用第三方软件进行解密，因为这可能会导致永久性数据丢失或增加成本。

HWABAG 的两张赎金票据

HWABAG 在“HWABAG.txt”文件中生成的勒索信的简短版本如下：

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us

弹出窗口内显示的较长版本使用了通常的 Dharma 模板，如下所示：

HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

像 HWABAG 这样的勒索软件如何感染您的系统？

勒索软件（如 HWABAG）可以通过各种方式感染您的系统，通常利用漏洞或使用欺骗手段。以下是一些常见方法：

钓鱼电子邮件：一种常见的方法是通过包含恶意附件或链接的钓鱼电子邮件。这些电子邮件可能看似合法，通常冒充知名公司或个人，诱骗用户点击附件或链接，然后下载并执行勒索软件。

恶意网站：访问受感染或恶意的网站也会导致勒索软件感染。这些网站可能包含漏洞利用工具包，可在未经访问者知情或同意的情况下自动下载勒索软件并将其安装到访问者的系统中。

利用漏洞：勒索软件可以利用软件或操作系统中的安全漏洞来访问系统。过时的软件、未打补丁的系统或缺乏安全更新都可能使系统容易受到此类攻击。

恶意广告：恶意广告或恶意广告可以将用户重定向到托管勒索软件的网站，或在未经用户交互的情况下自动将勒索软件下载到他们的系统上。

驱动下载：勒索软件还可以通过驱动下载进行传播，即用户只需访问受感染的网站，恶意软件就会在用户不知情或未经同意的情况下下载并安装到用户系统中。

远程桌面协议 (RDP) 攻击：攻击者可能利用远程桌面连接的弱凭据或默认凭据来获取系统的未经授权的访问并部署勒索软件。

软件漏洞：系统上安装的软件应用程序中的漏洞可被利用来执行勒索软件。这包括常用软件（如 Web 浏览器、办公套件或插件）中的漏洞。

为了降低勒索软件感染的风险，必须保持最新的安全措施，例如使用信誉良好的防病毒软件、定期更新软件和操作系统、警惕未经请求的电子邮件或附件以及实施强大的远程访问身份验证方法。此外，定期备份存储在安全位置的重要数据可以帮助减轻勒索软件攻击的影响。