HBM Ransomware est un nouveau clone du Dharma
Les chercheurs ont découvert une nouvelle variante de rançongiciel appartenant à la famille de clones Dharma. La nouvelle version s'appelle le rançongiciel HBM.
HBM crypte les documents, les fichiers multimédias, les archives et les bases de données sur les disques du système victime. Une fois les fichiers cryptés, ils subissent un changement de nom.
Le ransomware HMB ajoute le code d'identification de la victime, l'e-mail utilisé par l'opérateur du ransomware et la chaîne ".HBM" aux noms des fichiers chiffrés. Cela signifie qu'un fichier appelé à l'origine "archive.zip" deviendra "archive.zip.id-VICTIM ID.[hebem@cock.li].HBM".
Le ransomware a généré un fichier appelé "info.txt" qui contient une version plus courte de la demande de rançon. Une version différente et plus longue s'affiche dans une fenêtre contextuelle et se lit comme suit :
VOS FICHIERS SONT CRYPTÉS
DHARMA
Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers !
Si vous souhaitez les restaurer, écrivez au courrier : hebem at cock dot li VOTRE ID -
Si vous n'avez pas répondu par mail dans les 12 heures, écrivez-nous par un autre mail : hebem at tuta dot io
ATTENTION!
Nous vous recommandons de nous contacter directement pour éviter de surpayer les agents
Ne renommez pas les fichiers cryptés.
N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix (ils ajoutent leurs frais à nos) ou vous pouvez devenir victime d'une arnaque.