Hyj Ransomware produit une note de rançon en russe

Notre équipe de chercheurs a découvert le ransomware Hyj lors de l’examen de nouveaux échantillons de fichiers. Ce logiciel malveillant fait partie de la famille des ransomwares Xorist. Le malware est conçu pour crypter les données, exigeant une rançon pour leur décryptage.

Lors de l'exécution d'un échantillon de ce ransomware sur notre système de test, il a crypté les fichiers et apposé une extension « .hyj » à leurs noms de fichiers. Par exemple, un fichier initialement nommé « 1.jpg » a été transformé en « 1.jpg.hyj » et « 2.png » est devenu « 2.png.hyj », et ainsi de suite pour tous les fichiers compromis.

Une fois le processus de cryptage finalisé, deux demandes de rançon identiques en russe ont été générées – l'une sous forme de fenêtre contextuelle et l'autre sous forme de fichier texte nommé « КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt ». Il convient de noter que si le système ne prend pas en charge l'alphabet cyrillique, le texte dans la fenêtre contextuelle apparaîtra sous forme de caractères inintelligibles.

La demande de rançon indique à la victime que ses fichiers ont été cryptés et lui demande de lancer le processus de décryptage en envoyant un e-mail aux attaquants. Le message prévient également que le fait de ne pas contacter les attaquants entraînera la suppression des clés de déchiffrement, rendant ainsi impossible la récupération des données.

Note de rançon Hyj composée en russe

Le texte intégral de la demande de rançon Hyj est le suivant :

Vos familles étaient prêtes à l'emploi. Pour que vous puissiez partager votre famille, vous ne devez pas trouver votre nom, à votre adresse postale, que vous recherchez.

desm4578@rambler.ru

Si vous n'êtes pas sûr d'avoir une réponse, vous avez des clés de sécurité.

Укажите в письме цифру 1

Comment un ransomware comme Hyj peut-il s’installer sur votre système ?

Les ransomwares comme Hyj peuvent infiltrer votre système par divers moyens, et il est crucial de comprendre ces points d'entrée pour mieux protéger votre ordinateur. Voici les moyens courants par lesquels les ransomwares peuvent s’introduire dans votre système :

• E-mails de phishing : les ransomwares se propagent souvent via des e-mails de phishing. Vous pouvez recevoir un e-mail qui semble légitime mais contient des pièces jointes ou des liens malveillants. Cliquer sur ces liens ou ouvrir des pièces jointes infectées peut lancer l’infection par ransomware.
• Pièces jointes malveillantes : les cybercriminels peuvent vous envoyer des e-mails contenant des pièces jointes qui, une fois ouvertes, exécutent un ransomware sur votre système. Ces pièces jointes peuvent être déguisées en factures, fichiers PDF ou autres fichiers apparemment inoffensifs.
• Sites Web infectés : la visite de sites Web compromis ou malveillants peut entraîner des téléchargements intempestifs, où un ransomware est installé silencieusement sur votre ordinateur à votre insu. Les plugins ou logiciels obsolètes peuvent être particulièrement vulnérables à ces attaques.
• Vulnérabilités logicielles : l'exploitation des vulnérabilités de sécurité de votre système d'exploitation ou de vos logiciels est une autre façon par laquelle les ransomwares peuvent pénétrer dans votre système. Garder votre logiciel à jour avec les correctifs de sécurité est crucial pour la protection.
• Logiciels non corrigés : le fait de ne pas mettre à jour ou de corriger votre logiciel peut rendre votre système vulnérable aux exploits connus. Les cybercriminels en profitent en développant des ransomwares qui ciblent ces vulnérabilités.
• Publicité malveillante : des publicités malveillantes, ou publicité malveillante, peuvent être trouvées sur des sites Web légitimes. Cliquer sur ces publicités peut entraîner des infections par ransomware. L'utilisation d'un bloqueur de publicités peut réduire le risque.