A HBM Ransomware egy új Dharma-klón
A kutatók egy új ransomware-változatot fedeztek fel, amely a Dharma klóncsaládjába tartozik. Az új verzió neve HBM ransomware.
A HBM titkosítja a dokumentumokat, médiafájlokat, archívumokat és adatbázisokat az áldozat rendszer meghajtóin. A fájlok titkosítása után névváltoztatáson mennek keresztül.
A HMB ransomware hozzáfűzi az áldozat azonosító kódját, a ransomware üzemeltetője által használt e-mail címet és a ".HBM" karakterláncot a titkosított fájlok nevéhez. Ez azt jelenti, hogy az eredetileg "archive.zip" nevű fájlból "archive.zip.id-VICTIM ID.[hebem@cock.li].HBM" lesz.
A zsarolóprogram egy "info.txt" nevű fájlt hozott létre, amely a váltságdíjról szóló feljegyzés rövidebb változatát tartalmazza. Egy másik, hosszabb verzió jelenik meg egy felugró ablakban, és a következőképpen szól:
A FÁJLOID TITKOSÍTVA
DHARMA
Ne aggódjon, az összes fájlt visszaküldheti!
Ha vissza szeretnéd őket állítani, írj a következő címre: hebem at cock dot li AZ IDŐD -
Ha 12 órán belül nem válaszol e-mailben, írjon nekünk egy másik e-mail-címen: hebem at tuta dot io
FIGYELEM!
Javasoljuk, hogy közvetlenül forduljon hozzánk, hogy elkerülje az ügynökök túlfizetését
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.