Hhaz Ransomware bloquea los sistemas de las víctimas

En nuestro examen de nuevas muestras de malware, identificamos a Hhaz como una variante de ransomware vinculada a la familia Djvu. Nuestra investigación reveló que Hhaz cifra datos, modifica los nombres de los archivos añadiendo la extensión ".hhaz" y genera un archivo de texto llamado "_readme.txt" que contiene una nota de rescate.

Para ilustrar el comportamiento de cambio de nombre de archivos de Hhaz, cambia "1.jpg" a "1.jpg.hhaz", "2.png" a "2.png.hhaz", etc. Djvu ransomware está particularmente asociado con ladrones de información.

El mensaje de rescate asegura a la persona objetivo que los archivos bloqueados, que incluyen imágenes, bases de datos y documentos, pueden restaurarse obteniendo una herramienta de descifrado y una clave específica. Como prueba de que poseen las herramientas de descifrado, los atacantes ofrecen descifrar un solo archivo de forma gratuita, siempre que carezca de información valiosa.

El costo de descifrado se establece en $980, con un descuento del 50% disponible si las víctimas se comunican con los actores de la amenaza dentro de un período de 72 horas. La nota enfatiza la absoluta imposibilidad de recuperar datos sin realizar el pago especificado. Se les pide a las víctimas que se comuniquen con los operadores de ransomware por correo electrónico a support@freshmail.top o datarestorehelpyou@airmail.cc.

Nota de rescate de Hhaz en su totalidad

El texto completo de la nota de rescate elaborada por Hhaz dice lo siguiente:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-5zKXJl7cwi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Su identificación personal:

¿Cómo se distribuye en línea el ransomware como Hhaz?

El ransomware como Hhaz normalmente se distribuye a través de varios canales en línea utilizando tácticas diseñadas para explotar vulnerabilidades y engañar a los usuarios. A continuación se detallan métodos comunes empleados para la distribución de ransomware:

Archivos adjuntos de correo electrónico maliciosos:
Los ciberdelincuentes suelen utilizar correos electrónicos de phishing para distribuir ransomware. Estos correos electrónicos pueden contener archivos adjuntos aparentemente inofensivos, como documentos o archivos PDF, que en realidad contienen una carga maliciosa. Abrir estos archivos adjuntos puede desencadenar la instalación del ransomware.

Sitios web infectados y publicidad maliciosa:
Visitar sitios web comprometidos o hacer clic en anuncios maliciosos en línea (publicidad maliciosa) puede exponer a los usuarios al ransomware. Los atacantes pueden aprovechar las vulnerabilidades de los navegadores web o de los complementos para entregar la carga útil del ransomware.

Kits de explotación:
Los kits de explotación son herramientas que atacan las vulnerabilidades del software para generar malware. Los ciberdelincuentes pueden utilizar kits de explotación en sitios web comprometidos o maliciosos para explotar automáticamente las vulnerabilidades en el software del visitante e implementar ransomware.

Ataques de protocolo de escritorio remoto (RDP):
Los ciberdelincuentes pueden intentar obtener acceso no autorizado a los sistemas a través de conexiones de protocolo de escritorio remoto débiles o comprometidas. Una vez dentro, pueden implementar ransomware directamente en el sistema objetivo.

Enlaces maliciosos en correos electrónicos o mensajes:
El ransomware se puede distribuir a través de enlaces en correos electrónicos, mensajes instantáneos o redes sociales. Al hacer clic en estos enlaces se puede descargar y ejecutar archivos maliciosos que instalan el ransomware en el dispositivo del usuario.

Ataques de abrevadero:
En los ataques de abrevadero, los ciberdelincuentes comprometen sitios web que son visitados regularmente por un grupo objetivo específico. Al infectar estos sitios web, pueden entregar ransomware al público objetivo.