Hyj Ransomware erstellt einen Lösegeldschein auf Russisch

Unser Forscherteam stieß bei der Untersuchung neuer Dateibeispiele auf die Ransomware Hyj. Diese Schadsoftware ist Teil der Xorist-Ransomware-Familie. Die Malware ist darauf ausgelegt, Daten zu verschlüsseln und verlangt für deren Entschlüsselung ein Lösegeld.

Beim Ausführen einer Probe dieser Ransomware auf unserem Testsystem verschlüsselte sie Dateien und fügte ihren Dateinamen die Erweiterung „.hyj“ hinzu. Beispielsweise wurde eine Datei mit dem ursprünglichen Namen „1.jpg“ in „1.jpg.hyj“ umgewandelt, und „2.png“ wurde zu „2.png.hyj“ usw. für alle kompromittierten Dateien.

Nachdem der Verschlüsselungsprozess abgeschlossen war, wurden zwei identische Lösegeldscheine in russischer Sprache generiert – einer als Popup-Fenster und einer als Textdatei mit dem Namen „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt“. Es ist zu beachten, dass der Text im Popup als unverständliche Zeichen angezeigt wird, wenn das System das kyrillische Alphabet nicht unterstützt.

Der Lösegeldschein teilt dem Opfer mit, dass seine Dateien verschlüsselt wurden, und weist es an, den Entschlüsselungsprozess per E-Mail an die Angreifer einzuleiten. Die Nachricht warnt außerdem davor, dass die Nichtkontaktierung der Angreifer zur Löschung der Entschlüsselungsschlüssel führt und eine Datenwiederherstellung unmöglich macht.

Hyj-Lösegeldschein in russischer Sprache verfasst

Der vollständige Text der Hyj-Lösegeldforderung lautet wie folgt:

Ihre Dateien wurden gelöscht. Um Ihre Dateien zu löschen, müssen Sie sich an eine bestimmte Adresse wenden, die Sie jetzt erhalten haben.

desm4578@rambler.ru

Meiner Meinung nach sind keine weiteren Antworten erforderlich

Klicken Sie auf Ziffer 1

Wie kann Ransomware wie Hyj auf Ihr System gelangen?

Ransomware wie Hyj kann auf verschiedene Weise in Ihr System eindringen. Um Ihren Computer besser zu schützen, ist es wichtig, diese Eintrittspunkte zu verstehen. Auf folgenden Wegen kann Ransomware auf Ihr System gelangen:

• Phishing-E-Mails: Ransomware wird häufig über Phishing-E-Mails verbreitet. Möglicherweise erhalten Sie eine E-Mail, die legitim erscheint, aber schädliche Anhänge oder Links enthält. Das Klicken auf diese Links oder das Öffnen infizierter Anhänge kann die Ransomware-Infektion auslösen.
• Schädliche E-Mail-Anhänge: Cyberkriminelle senden Ihnen möglicherweise E-Mails mit Anhängen, die beim Öffnen Ransomware auf Ihrem System ausführen. Diese Anhänge können als Rechnungen, PDFs oder andere scheinbar harmlose Dateien getarnt sein.
• Infizierte Websites: Der Besuch kompromittierter oder bösartiger Websites kann zu Drive-by-Downloads führen, bei denen Ransomware ohne Ihr Wissen stillschweigend auf Ihrem Computer installiert wird. Veraltete Plugins oder Software können für diese Angriffe besonders anfällig sein.
• Software-Schwachstellen: Das Ausnutzen von Sicherheitslücken in Ihrem Betriebssystem oder Ihrer Software ist eine weitere Möglichkeit, wie Ransomware in Ihr System eindringen kann. Für den Schutz ist es von entscheidender Bedeutung, Ihre Software mit Sicherheitspatches auf dem neuesten Stand zu halten.
• Ungepatchte Software: Wenn Sie Ihre Software nicht aktualisieren oder patchen, kann Ihr System anfällig für bekannte Exploits sein. Cyberkriminelle machen sich dies zunutze, indem sie Ransomware entwickeln, die auf diese Schwachstellen abzielt.
• Malvertising: Schädliche Werbung oder Malvertising kann auf seriösen Websites gefunden werden. Das Klicken auf diese Anzeigen kann zu Ransomware-Infektionen führen. Der Einsatz eines Werbeblockers kann das Risiko verringern.