Hhaz Ransomware κλειδώνει συστήματα θυμάτων

Κατά την εξέταση νέων δειγμάτων κακόβουλου λογισμικού, εντοπίσαμε το Hhaz ως μια παραλλαγή ransomware που συνδέεται με την οικογένεια Djvu. Η έρευνά μας αποκάλυψε ότι το Hhaz κρυπτογραφεί δεδομένα, τροποποιεί τα ονόματα αρχείων προσθέτοντας την επέκταση ".hhaz" και δημιουργεί ένα αρχείο κειμένου με το όνομα "_readme.txt" που περιέχει μια σημείωση λύτρων.

Για να απεικονίσει τη συμπεριφορά μετονομασίας του αρχείου του Hhaz, αλλάζει το "1.jpg" σε "1.jpg.hhaz", το "2.png" σε "2.png.hhaz" και ούτω καθεξής. Το Djvu ransomware σχετίζεται κυρίως με κλέφτες πληροφοριών.

Το μήνυμα λύτρων διαβεβαιώνει το στοχευόμενο άτομο ότι τα κλειδωμένα αρχεία, που περιλαμβάνουν εικόνες, βάσεις δεδομένων και έγγραφα, μπορούν να αποκατασταθούν με την απόκτηση ενός εργαλείου αποκρυπτογράφησης και ενός συγκεκριμένου κλειδιού. Ως απόδειξη της κατοχής των εργαλείων αποκρυπτογράφησης, οι εισβολείς προσφέρουν την αποκρυπτογράφηση μόνο ενός αρχείου δωρεάν, υπό την προϋπόθεση ότι δεν έχει πολύτιμες πληροφορίες.

Το κόστος αποκρυπτογράφησης ορίζεται στα 980 $, με έκπτωση 50% διαθέσιμη εάν τα θύματα επικοινωνήσουν με τους φορείς απειλών εντός χρονικού πλαισίου 72 ωρών. Το σημείωμα τονίζει την απόλυτη αδυναμία ανάκτησης δεδομένων χωρίς να πραγματοποιηθεί η καθορισμένη πληρωμή. Τα θύματα καλούνται να επικοινωνήσουν με τους χειριστές ransomware μέσω email στη διεύθυνση support@freshmail.top ή datarestorehelpyou@airmail.cc.

Σημείωση Hhaz Ransom Πλήρης

Το πλήρες κείμενο του σημειώματος για τα λύτρα που εκπόνησε ο Hhaz έχει ως εξής:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-5zKXJl7cwi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Η προσωπική σας ταυτότητα:

Πώς διανέμεται στο Διαδίκτυο το Ransomware Like Hhaz;

Το ransomware όπως το Hhaz διανέμεται συνήθως μέσω διαφόρων διαδικτυακών καναλιών χρησιμοποιώντας τακτικές που έχουν σχεδιαστεί για την εκμετάλλευση ευπαθειών και την εξαπάτηση των χρηστών. Ακολουθούν κοινές μέθοδοι που χρησιμοποιούνται για τη διανομή ransomware:

Κακόβουλα συνημμένα email:
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά μηνύματα ηλεκτρονικού ψαρέματος για τη διανομή ransomware. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να περιέχουν φαινομενικά αβλαβή συνημμένα, όπως έγγραφα ή αρχεία PDF, τα οποία στην πραγματικότητα φέρουν το κακόβουλο ωφέλιμο φορτίο. Το άνοιγμα αυτών των συνημμένων μπορεί να ενεργοποιήσει την εγκατάσταση ransomware.

Μολυσμένοι ιστότοποι και κακόβουλες διαφημίσεις:
Η επίσκεψη σε παραβιασμένους ιστότοπους ή το κλικ σε κακόβουλες διαδικτυακές διαφημίσεις (malvertisements) μπορεί να εκθέσει τους χρήστες σε ransomware. Οι εισβολείς ενδέχεται να εκμεταλλευτούν ευπάθειες σε προγράμματα περιήγησης ιστού ή προσθήκες για να παραδώσουν το ωφέλιμο φορτίο ransomware.

Κιτ εκμετάλλευσης:
Τα κιτ εκμετάλλευσης είναι εργαλεία που στοχεύουν τρωτά σημεία λογισμικού για την παράδοση κακόβουλου λογισμικού. Οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν κιτ εκμετάλλευσης σε παραβιασμένους ή κακόβουλους ιστότοπους για να εκμεταλλευτούν αυτόματα τις ευπάθειες στο λογισμικό των επισκεπτών και να αναπτύξουν ransomware.

Επιθέσεις Remote Desktop Protocol (RDP):
Οι εγκληματίες του κυβερνοχώρου ενδέχεται να επιχειρήσουν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα μέσω αδύναμων ή παραβιασμένων συνδέσεων πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας. Μόλις μπουν μέσα, μπορούν να αναπτύξουν ransomware απευθείας στο στοχευμένο σύστημα.

Κακόβουλοι σύνδεσμοι σε μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα:
Το Ransomware μπορεί να διανεμηθεί μέσω συνδέσμων σε email, άμεσα μηνύματα ή μέσα κοινωνικής δικτύωσης. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να οδηγήσει στη λήψη και την εκτέλεση κακόβουλων αρχείων που εγκαθιστούν το ransomware στη συσκευή του χρήστη.

Επιθέσεις ποτίσματος:
Κατά τις επιθέσεις που κάνουν το watering hole, οι εγκληματίες του κυβερνοχώρου παραβιάζουν ιστότοπους που επισκέπτονται τακτικά μια συγκεκριμένη ομάδα στόχου. Μολύνοντας αυτούς τους ιστότοπους, μπορούν να παραδώσουν ransomware στο κοινό-στόχο.