HUNTER Ransomware crypte le contenu du système

Lors de notre examen des échantillons de malwares, nous avons découvert HUNTER, une variante du ransomware appartenant à la famille Phobos. Ce malware crypte les fichiers, modifie leurs noms de fichiers et présente deux notes de rançon intitulées « info.txt » et « info.hta ». De plus, le ransomware HUNTER ajoute l'identifiant de la victime, une adresse e-mail et l'extension « .HUNTER » aux noms de fichiers.

Par exemple, il transforme "1.jpg" en "1.jpg.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER" et "2.png" en "2.png.id[ 9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER", et ainsi de suite. La demande de rançon informe la victime du cryptage de ses fichiers en raison d'un problème de sécurité sur son PC. Il fournit une adresse e-mail (hunter-x@tuta.io) pour communiquer avec les attaquants et conseille d'inclure un identifiant spécifique dans la ligne d'objet de l'e-mail. En l’absence de réponse dans les 24 heures, la victime est invitée à contacter les attaquants via un compte Telegram (@Online7_365).

La note exige le paiement en Bitcoins pour le décryptage, le montant variant en fonction de la rapidité avec laquelle la victime contacte les attaquants. En guise de garantie, il offre le décryptage gratuit jusqu'à trois fichiers, à condition qu'ils fassent moins de 4 Mo et manquent d'informations précieuses.

En outre, la victime est avertie de ne pas renommer les fichiers cryptés ou de tenter de les décrypter à l'aide d'un logiciel tiers afin d'éviter une perte permanente de données ou d'être la proie d'escroqueries.

Note de rançon HUNTER dans son intégralité

Le texte complet de la demande de rançon générée par HUNTER dans la fenêtre contextuelle et le fichier info.hta se lit comme suit :

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Hunter-X@tuta.io
Write this ID in the title of your message -
If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Online7_365
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Comment un ransomware similaire à HUNTER peut-il infecter votre système ?

Un ransomware similaire à HUNTER peut infecter votre système par diverses méthodes, notamment :

E-mails de phishing : une méthode courante consiste à envoyer des e-mails de phishing contenant des pièces jointes ou des liens malveillants. Ces e-mails peuvent sembler légitimes et emploient souvent des tactiques d'ingénierie sociale pour inciter les utilisateurs à ouvrir des pièces jointes ou à cliquer sur des liens, qui téléchargent et exécutent ensuite le ransomware sur le système.

Sites Web malveillants : la visite de sites Web compromis ou malveillants peut également entraîner des infections par ransomware. Ces sites Web peuvent exploiter les vulnérabilités des navigateurs Web ou des plug-ins pour télécharger et installer silencieusement des ransomwares sur le système de la victime à son insu ou sans son consentement.

Exploiter les vulnérabilités des logiciels : les ransomwares peuvent exploiter les vulnérabilités des logiciels, tels que les systèmes d'exploitation, les navigateurs Web ou les plugins, pour obtenir un accès non autorisé à un système. Les attaquants peuvent exploiter des vulnérabilités connues pour lesquelles des correctifs ou des mises à jour n'ont pas été appliqués, permettant ainsi au ransomware d'infiltrer le système.

Attaques RDP (Remote Desktop Protocol) : les attaquants de ransomware peuvent cibler des systèmes dotés de connexions RDP (Remote Desktop Protocol) exposées ou faiblement sécurisées. Ils peuvent recourir à des attaques par force brute ou obtenir des informations d'identification volées pour obtenir un accès non autorisé au système et déployer un ransomware.

Téléchargements malveillants : les utilisateurs peuvent télécharger par inadvertance des ransomwares en cliquant sur des publicités malveillantes, en téléchargeant des logiciels ou du contenu piratés provenant de sources non fiables, ou en installant de fausses mises à jour logicielles ou des applications provenant de sites Web douteux.

Publicité malveillante : les publicités malveillantes, ou publicité malveillante, peuvent rediriger les utilisateurs vers des sites Web hébergeant des kits d'exploitation qui fournissent des charges utiles de ransomware. Ces publicités peuvent apparaître sur des sites Web légitimes et infecter les systèmes des utilisateurs à leur insu ou sans leur interaction.

Téléchargements drive-by : les ransomwares peuvent également être diffusés via des téléchargements drive-by, où les logiciels malveillants sont automatiquement téléchargés et exécutés lorsqu'un utilisateur visite un site Web compromis ou interagit avec du contenu malveillant intégré dans des pages Web.