Το Hgjzitlxe Ransomware στοχεύει επιχειρήσεις

Κατά την ανάλυσή μας σε δείγματα κακόβουλου λογισμικού, ανακαλύψαμε το Hgjzitlxe, έναν τύπο ransomware που σχετίζεται με την οικογένεια Snatch. Η έρευνά μας αποκάλυψε ότι το Hgjzitlxe κρυπτογραφεί αρχεία και προσθέτει τη δική του επέκταση (."hgjzitlxe") στα αρχικά ονόματα αρχείων. Για να εκφοβίσει περαιτέρω τα θύματα, δημιουργεί ένα σημείωμα λύτρων που ονομάζεται "HOW TO Restore YOUR HGJZITLXE FILES.TXT".

Ως παράδειγμα της συμπεριφοράς τροποποίησης του αρχείου, το Hgjzitlxe αντικαθιστά το "1.jpg" με το "1.jpg.hgjzitlxe" και το "2.png" με το "2.png.hgjzitlxe" και ούτω καθεξής.

Το σημείωμα λύτρων ενημερώνει τα θύματα ότι το δίκτυό τους έχει υποβληθεί σε δοκιμή διείσδυσης, που οδηγεί στην κρυπτογράφηση των αρχείων τους. Οι εισβολείς ισχυρίζονται ότι έχουν κατεβάσει περισσότερα από 100 GB δεδομένων, συμπεριλαμβανομένων προσωπικών πληροφοριών, δεδομένων μάρκετινγκ, εμπιστευτικών εγγράφων, λογιστικών αρχείων, βάσεων δεδομένων SQL και αντιγράφων αρχείων email.

Τα θύματα αποθαρρύνονται έντονα από το να επιχειρήσουν να αποκρυπτογραφήσουν τα ίδια τα αρχεία ή να χρησιμοποιήσουν εργαλεία τρίτων, καθώς η σημείωση τονίζει ότι μόνο ο συγκεκριμένος αποκρυπτογραφητής τους μπορεί να επαναφέρει αποτελεσματικά τα αρχεία. Για την αποφυγή πιθανής εξαπάτησης από μεσάζοντες, το σημείωμα συμβουλεύει την άμεση επικοινωνία με τους φορείς της απειλής.

Για να συλλέξουν στοιχεία, να εξερευνήσουν πιθανές λύσεις και να ζητήσουν τον αποκρυπτογραφητή, τα θύματα λαμβάνουν οδηγίες να επικοινωνήσουν με τους κυβερνοεγκληματίες μέσω των παρεχόμενων διευθύνσεων ηλεκτρονικού ταχυδρομείου: candice.wood@post.cz ή candice.wood@swisscows.email. Προτείνεται εναλλακτικός τρόπος επικοινωνίας μέσω Tox chat.

Το σημείωμα για τα λύτρα ολοκληρώνεται με μια προειδοποίηση ότι εάν δεν ληφθεί απάντηση εντός τριών ημερών, οι εγκληματίες του κυβερνοχώρου θα δημοσιοποιήσουν τα κρυπτογραφημένα αρχεία.

Σημείωση Hgjzitlxe Ransom Υποδεικνύει ότι οι χάκερ στοχεύουν επιχειρήσεις

Το πλήρες κείμενο του σημειώματος για τα λύτρα έχει ως εξής:

ΟΛΟ ΤΟ ΔΙΚΤΥΟ ΕΙΝΑΙ ΚΡΥΠΤΟΠΟΙΗΜΕΝΟ Η ΕΠΙΧΕΙΡΗΣΗ ΣΑΣ ΧΑΝΕΙ ΧΡΗΜΑΤΑ!

Αγαπητή Διοίκηση! Σας ενημερώνουμε ότι το δίκτυό σας έχει υποβληθεί σε δοκιμή διείσδυσης, κατά τη διάρκεια του οποίου κάναμε κρυπτογράφηση
τα αρχεία σας και κατέβασαν περισσότερα από 100 GB των δεδομένων σας

Προσωπικά δεδομένα
Δεδομένα μάρκετινγκ
Εμπιστευτικά έγγραφα
Λογιστική
Βάσεις δεδομένων SQL
Αντίγραφο μερικών γραμματοκιβωτίων

Σπουδαίος! Μην προσπαθήσετε να αποκρυπτογραφήσετε τα αρχεία μόνοι σας ή χρησιμοποιώντας βοηθητικά προγράμματα τρίτων.
Το μόνο πρόγραμμα που μπορεί να τα αποκρυπτογραφήσει είναι ο αποκρυπτογραφητής μας, τον οποίο μπορείτε να ζητήσετε από τις παρακάτω επαφές.
Οποιοδήποτε άλλο πρόγραμμα θα βλάψει μόνο τα αρχεία με τέτοιο τρόπο που θα είναι αδύνατη η επαναφορά τους.
Γράψτε μας απευθείας, χωρίς να καταφύγετε σε μεσάζοντες, θα σας εξαπατήσουν.

Μπορείτε να λάβετε όλα τα απαραίτητα στοιχεία, να συζητήσετε μαζί μας πιθανές λύσεις σε αυτό το πρόβλημα και να ζητήσετε αποκρυπτογράφηση
χρησιμοποιώντας τις παρακάτω επαφές.
Λάβετε υπόψη ότι εάν δεν λάβουμε απάντηση από εσάς εντός 3 ημερών, διατηρούμε το δικαίωμα να δημοσιεύσουμε αρχεία στο κοινό.

Επικοινωνήστε μαζί μας:
candice.wood@post.cz ή candice.wood@swisscows.email

Πρόσθετοι τρόποι επικοινωνίας στο tox chat
αναγνωριστικό τοξικότητας:
(αλφαριθμητική συμβολοσειρά)

Πώς μπορεί το Ransomware όπως το Hgjzitlxe να διεισδύσει στο σύστημά σας;

Ransomware όπως το Hgjzitlxe μπορεί να διεισδύσει στο σύστημά σας μέσω διαφόρων μεθόδων. Ακολουθούν ορισμένοι συνήθεις τρόποι με τους οποίους το ransomware μπορεί να βρει το δρόμο του στο σύστημά σας:

• Ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος: Μία από τις πιο διαδεδομένες μεθόδους είναι μέσω μηνυμάτων ηλεκτρονικού ψαρέματος. Μπορεί να λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να είναι νόμιμο, αλλά περιέχει ένα κακόβουλο συνημμένο ή έναν σύνδεσμο στον οποίο, όταν κάνετε κλικ, κατεβάζει το ransomware στο σύστημά σας.
• Κακόβουλες λήψεις: Το Ransomware μπορεί επίσης να ληφθεί εν αγνοία σας όταν επισκέπτεστε παραβιασμένους ιστότοπους ή κάνετε κλικ σε κακόβουλες διαφημίσεις. Αυτές οι λήψεις μπορεί να είναι μεταμφιεσμένες ως νόμιμο λογισμικό ή αρχεία, εξαπατώντας σας να τις εκτελέσετε και μολύνοντας το σύστημά σας.
• Εκμετάλλευση ευπαθειών: Το Ransomware μπορεί να εκμεταλλευτεί ευπάθειες στο λειτουργικό σύστημα, το λογισμικό ή τις εφαρμογές σας. Οι εγκληματίες του κυβερνοχώρου αναζητούν ενεργά αδυναμίες ασφαλείας τις οποίες μπορούν να εκμεταλλευτούν για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και να αναπτύξουν ransomware στο σύστημά σας.
• Κακόβουλοι ιστότοποι και κακόβουλες διαφημίσεις: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί να οδηγήσει σε αυτόματη λήψη και εγκατάσταση ransomware εν αγνοία σας. Ομοίως, η κακόβουλη διαφήμιση (κακόβουλη διαφήμιση) μπορεί να προσφέρει ransomware ενσωματώνοντάς το σε διαδικτυακές διαφημίσεις.
• Επιθέσεις Remote Desktop Protocol (RDP): Εάν έχετε ενεργοποιημένο και κακώς διαμορφωμένο το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας, οι εισβολείς μπορούν να εκμεταλλευτούν αδύναμα ή προεπιλεγμένα διαπιστευτήρια για να αποκτήσουν απομακρυσμένη πρόσβαση στο σύστημά σας και να αναπτύξουν ransomware.
• Λήψεις Drive-by: Το Ransomware μπορεί να ληφθεί και να εγκατασταθεί αθόρυβα όταν επισκέπτεστε παραβιασμένους ιστότοπους στους οποίους έχει εισαχθεί κακόβουλος κώδικας. Αυτό συμβαίνει χωρίς καμία αλληλεπίδραση ή γνώση του χρήστη.
• Εκμετάλλευση ευπαθειών δικτύου: Το Ransomware μπορεί να εξαπλωθεί σε ένα δίκτυο εκμεταλλευόμενος ευπάθειες σε πρωτόκολλα δικτύου ή μη επιδιορθωμένα συστήματα. Μόλις εισέλθει σε ένα δίκτυο, μπορεί να διαδοθεί γρήγορα και να μολύνει άλλες συσκευές.