Το HUNTER Ransomware κρυπτογραφεί τα περιεχόμενα του συστήματος

Κατά την εξέταση δειγμάτων κακόβουλου λογισμικού, ανακαλύψαμε το HUNTER, μια παραλλαγή ransomware που ανήκει στην οικογένεια Phobos. Αυτό το κακόβουλο λογισμικό κρυπτογραφεί αρχεία, τροποποιεί τα ονόματα των αρχείων τους και παρουσιάζει δύο σημειώσεις λύτρων με την ένδειξη "info.txt" και "info.hta". Επιπλέον, το ransomware HUNTER προσθέτει το αναγνωριστικό του θύματος, μια διεύθυνση email και την επέκταση ".HUNTER" στα ονόματα αρχείων.

Για παράδειγμα, μετατρέπει το "1.jpg" σε "1.jpg.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER" και το "2.png" σε "2.png.id[ 9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER" και ούτω καθεξής. Το σημείωμα λύτρων ενημερώνει το θύμα για την κρυπτογράφηση των αρχείων του λόγω ενός ζητήματος ασφαλείας στον υπολογιστή του. Παρέχει μια διεύθυνση email (hunter-x@tuta.io) για επικοινωνία με τους εισβολείς και συμβουλεύει να συμπεριλάβετε ένα συγκεκριμένο αναγνωριστικό στη γραμμή θέματος του email. Εάν δεν υπάρξει απάντηση εντός 24 ωρών, το θύμα κατευθύνεται να επικοινωνήσει με τους εισβολείς μέσω ενός λογαριασμού στο Telegram (@Online7_365).

Το σημείωμα απαιτεί πληρωμή σε Bitcoin για αποκρυπτογράφηση, με το ποσό να ποικίλλει ανάλογα με το πόσο έγκαιρα το θύμα επικοινωνεί με τους εισβολείς. Ως εγγύηση, προσφέρει δωρεάν αποκρυπτογράφηση έως και τριών αρχείων, υπό την προϋπόθεση ότι είναι κάτω από 4 MB και δεν έχουν πολύτιμες πληροφορίες.

Επιπλέον, το θύμα προειδοποιείται να μην μετονομάσει κρυπτογραφημένα αρχεία ή να επιχειρήσει αποκρυπτογράφηση χρησιμοποιώντας λογισμικό τρίτων για να αποφύγει τη μόνιμη απώλεια δεδομένων ή να πέσει θύμα απάτης.

Ολόκληρο το σημείωμα HUNTER Ransom

Το πλήρες κείμενο του σημειώματος λύτρων που δημιουργήθηκε από το HUNTER στο αναδυόμενο παράθυρο και το αρχείο info.hta έχει ως εξής:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Hunter-X@tuta.io
Write this ID in the title of your message -
If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Online7_365
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Πώς μπορεί το Ransomware παρόμοιο με το HUNTER να μολύνει το σύστημά σας;

Το Ransomware παρόμοιο με το HUNTER μπορεί να μολύνει το σύστημά σας με διάφορες μεθόδους, όπως:

Ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος: Μια κοινή μέθοδος είναι μέσω μηνυμάτων ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να φαίνονται νόμιμα και συχνά χρησιμοποιούν τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες να ανοίξουν συνημμένα ή να κάνουν κλικ σε συνδέσμους, οι οποίοι στη συνέχεια κατεβάζουν και εκτελούν το ransomware στο σύστημα.

Κακόβουλοι ιστότοποι: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί επίσης να οδηγήσει σε μολύνσεις ransomware. Αυτοί οι ιστότοποι ενδέχεται να εκμεταλλευτούν ευπάθειες σε προγράμματα περιήγησης ιστού ή προσθήκες για να κατεβάσουν και να εγκαταστήσουν αθόρυβα ransomware στο σύστημα του θύματος χωρίς τη γνώση ή τη συγκατάθεσή τους.

Εκμετάλλευση ευπαθειών λογισμικού: Το Ransomware μπορεί να εκμεταλλευτεί ευπάθειες σε λογισμικό, όπως λειτουργικά συστήματα, προγράμματα περιήγησης ιστού ή πρόσθετα, για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα. Οι εισβολείς μπορούν να εκμεταλλευτούν γνωστές ευπάθειες για τις οποίες δεν έχουν εφαρμοστεί ενημερώσεις κώδικα ή ενημερώσεις, επιτρέποντας στο ransomware να διεισδύσει στο σύστημα.

Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς ransomware ενδέχεται να στοχεύουν συστήματα με εκτεθειμένες ή ασθενώς ασφαλείς συνδέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Μπορούν να χρησιμοποιήσουν επιθέσεις ωμής βίας ή να αποκτήσουν κλεμμένα διαπιστευτήρια για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα και να αναπτύξουν ransomware.

Κακόβουλες λήψεις: Οι χρήστες ενδέχεται να κατεβάσουν ακούσια ransomware κάνοντας κλικ σε κακόβουλες διαφημίσεις, κατεβάζοντας πειρατικό λογισμικό ή περιεχόμενο από αναξιόπιστες πηγές ή εγκαθιστώντας πλαστές ενημερώσεις λογισμικού ή εφαρμογές από αμφίβολους ιστότοπους.

Κακόβουλη διαφήμιση: Οι κακόβουλες διαφημίσεις ή κακόβουλες διαφημίσεις μπορούν να ανακατευθύνουν τους χρήστες σε ιστότοπους που φιλοξενούν κιτ εκμετάλλευσης που παρέχουν ωφέλιμα φορτία ransomware. Αυτές οι διαφημίσεις ενδέχεται να εμφανίζονται σε νόμιμους ιστότοπους και μπορούν να μολύνουν τα συστήματα των χρηστών χωρίς την αλληλεπίδραση ή τη γνώση τους.

Λήψεις Drive-by: Το Ransomware μπορεί επίσης να παραδοθεί μέσω λήψεων Drive-by, όπου το κακόβουλο λογισμικό λαμβάνεται και εκτελείται αυτόματα όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο ή αλληλεπιδρά με κακόβουλο περιεχόμενο που είναι ενσωματωμένο σε ιστοσελίδες.