Hhaz Ransomware sperrt Opfersysteme
Bei unserer Untersuchung neuer Malware-Beispiele haben wir Hhaz als eine Ransomware-Variante identifiziert, die mit der Djvu-Familie verknüpft ist. Unsere Untersuchung ergab, dass Hhaz Daten verschlüsselt, Dateinamen durch Anhängen der Erweiterung „.hhaz“ ändert und eine Textdatei mit dem Namen „_readme.txt“ generiert, die eine Lösegeldforderung enthält.
Um das Dateiumbenennungsverhalten von Hhaz zu veranschaulichen, ändert es „1.jpg“ in „1.jpg.hhaz“, „2.png“ in „2.png.hhaz“ usw. Djvu-Ransomware wird insbesondere mit Informationsdiebstahlern in Verbindung gebracht.
Die Lösegeldforderung versichert der Zielperson, dass gesperrte Dateien, darunter Bilder, Datenbanken und Dokumente, durch den Erhalt eines Entschlüsselungstools und eines bestimmten Schlüssels wiederhergestellt werden können. Als Beweis für den Besitz der Entschlüsselungstools bieten die Angreifer die kostenlose Entschlüsselung nur einer Datei an, sofern diese keine wertvollen Informationen enthält.
Die Entschlüsselungskosten sind auf 980 US-Dollar festgelegt, wobei ein Rabatt von 50 % gewährt wird, wenn Opfer innerhalb von 72 Stunden Kontakt zu den Bedrohungsakteuren aufnehmen. Der Hinweis betont die absolute Unmöglichkeit einer Datenwiederherstellung ohne Zahlung der angegebenen Zahlung. Opfer werden aufgefordert, die Ransomware-Betreiber per E-Mail unter support@freshmail.top oder datarestorehelpyou@airmail.cc zu kontaktieren.
Hhaz-Lösegeldschein in voller Länge
Der vollständige Text des von Hhaz erstellten Lösegeldscheins lautet wie folgt:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-5zKXJl7cwi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.To get this software you need write on our e-mail:
support@freshmail.topReserve e-mail address to contact us:
datarestorehelpyou@airmail.ccIhre persönliche ID:
Wie wird Ransomware wie Hhaz online verbreitet?
Ransomware wie Hhaz wird typischerweise über verschiedene Online-Kanäle verbreitet und nutzt dabei Taktiken, die darauf abzielen, Schwachstellen auszunutzen und Benutzer zu täuschen. Hier sind gängige Methoden zur Verbreitung von Ransomware:
Schädliche E-Mail-Anhänge:
Cyberkriminelle nutzen häufig Phishing-E-Mails, um Ransomware zu verbreiten. Diese E-Mails können scheinbar harmlose Anhänge wie Dokumente oder PDFs enthalten, die tatsächlich die schädliche Nutzlast enthalten. Das Öffnen dieser Anhänge kann die Installation der Ransomware auslösen.
Infizierte Websites und Malwerbung:
Der Besuch manipulierter Websites oder das Klicken auf bösartige Online-Werbung (Malvertisement) kann Benutzer der Gefahr von Ransomware aussetzen. Angreifer können Schwachstellen in Webbrowsern oder Plugins ausnutzen, um die Ransomware-Payload zu verbreiten.
Exploit-Kits:
Exploit-Kits sind Tools, die auf Software-Schwachstellen abzielen, um Malware einzuschleusen. Cyberkriminelle können Exploit-Kits auf kompromittierten oder bösartigen Websites verwenden, um automatisch Schwachstellen in der Software des Besuchers auszunutzen und Ransomware einzusetzen.
RDP-Angriffe (Remote Desktop Protocol):
Cyberkriminelle versuchen möglicherweise, sich über schwache oder kompromittierte Remote Desktop Protocol-Verbindungen unbefugten Zugriff auf Systeme zu verschaffen. Sobald sie drin sind, können sie Ransomware direkt auf dem Zielsystem verteilen.
Schädliche Links in E-Mails oder Nachrichten:
Ransomware kann über Links in E-Mails, Instant Messages oder sozialen Medien verbreitet werden. Das Klicken auf diese Links kann zum Herunterladen und Ausführen schädlicher Dateien führen, die die Ransomware auf dem Gerät des Benutzers installieren.
Watering-Hole-Angriffe:
Bei Watering-Hole-Angriffen kompromittieren Cyberkriminelle Websites, die regelmäßig von einer bestimmten Zielgruppe besucht werden. Durch die Infektion dieser Websites können sie Ransomware an die Zielgruppe weitergeben.
