HWABAG 勒索軟體將加密您的文件

在檢查新的惡意軟體樣本後，我們確定 HWABAG 是與 Dharma 家族相關的勒索軟體變體。 HWABAG 的功能是加密檔案、更改檔案名稱並提供兩份勒索資訊：一份透過彈出窗口，另一份以「HWABAG.txt」檔案的形式。

HWABAG 透過附加受害者的 ID、cobson@hwabag.us 電子郵件地址和「.HWABAG」副檔名來更改檔案名稱。例如，“1.jpg”變成“1.jpg.id-9ECFA84E.[cobson@hwabag.us].HWABAG”，“2.png”變成“2.png.id-9ECFA84E.[cobson@hwabag” .us].HWABAG”，等等。

勒索字條確認了所有文件的加密，並建議受害者透過在指定網站上發布貼文（包括主題行中的 ID）來啟動文件恢復。如果 24 小時內沒有回复，該說明將指示受害者聯繫所提供的電子郵件地址 (cobson@hwabag.us)。

解密費用需要以比特幣支付，金額取決於快速通訊。付款後，將獲得解密工具。此外，該註釋還為最多 5 個大小和內容有限的檔案提供免費解密。最後，它警告不要重命名加密檔案或使用第三方軟體進行解密，因為這可能會導致永久性資料遺失或增加成本。

HWABAG 的兩張勒索信

HWABAG 在「HWABAG.txt」檔案中產生的勒索字條的簡短版本如下：

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us

彈出視窗中顯示的較長版本使用通常的 Dharma 模板，如下所示：

HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

像 HWABAG 這樣的勒索軟體如何感染您的系統？

像 HWABAG 這樣的勒索軟體可以透過各種方式感染您的系統，通常是利用漏洞或使用欺騙策略。以下是一些常用的方法：

網路釣魚電子郵件：一種流行的方法是透過包含惡意附件或連結的網路釣魚電子郵件。這些電子郵件可能看起來合法，通常冒充知名公司或個人，並誘騙用戶單擊附件或鏈接，然後下載並執行勒索軟體。

惡意網站：造訪受損或惡意網站也可能導致勒索軟體感染。這些網站可能包含漏洞利用工具包，這些工具包會在訪客不知情或未經同意的情況下自動下載勒索軟體並將其安裝到訪客的系統上。

利用漏洞：勒索軟體可以利用軟體或作業系統中的安全漏洞來取得對系統的存取權限。過時的軟體、未修補的系統或缺乏安全性更新可能會使系統容易受到此類攻擊。

惡意廣告：惡意廣告或惡意廣告可以將使用者重新導向到託管勒索軟體的網站，或在無需使用者互動的情況下啟動勒索軟體自動下載到其係統上。

偷渡式下載：勒索軟體還可以透過偷渡式下載傳播，只需訪問受感染的網站，即可在用戶不知情或同意的情況下將惡意軟體下載並安裝到用戶的系統上。

遠端桌面協定 (RDP) 攻擊：攻擊者可能會利用遠端桌面連線的弱憑證或預設憑證來取得對系統的未經授權的存取並部署勒索軟體。

軟體漏洞：系統上安裝的軟體應用程式中的漏洞可被利用來執行勒索軟體。這包括常用軟體（例如網頁瀏覽器、辦公室套件或外掛程式）中的漏洞。

為了降低勒索軟體感染的風險，必須保持最新的安全措施，例如使用信譽良好的防毒軟體、定期更新軟體和作業系統、警惕未經請求的電子郵件或附件，以及實施強大的遠端存取身分驗證方法。此外，定期備份儲存在安全位置的重要資料可以幫助減輕勒索軟體攻擊的影響。