A Hhaz Ransomware lezárja az áldozatrendszereket
Az új malware-minták vizsgálata során a Hhaz-t a Djvu családhoz kapcsolódó ransomware-változatként azonosítottuk. Vizsgálatunk során kiderült, hogy a Hhaz titkosítja az adatokat, módosítja a fájlneveket a ".hhaz" kiterjesztéssel, és létrehoz egy "_readme.txt" nevű szöveges fájlt, amely váltságdíjat tartalmaz.
A Hhaz fájlátnevezési viselkedésének szemléltetésére az „1.jpg”-t „1.jpg.hhaz”-ra, a „2.png”-t „2.png.hhaz”-ra változtatja, és így tovább. A Djvu ransomware-t különösen az információlopókhoz kötik.
A váltságdíj-üzenet biztosítja a megcélzott személyt, hogy a zárolt fájlokat, beleértve a képeket, adatbázisokat és dokumentumokat, vissza lehet állítani egy visszafejtő eszköz és egy adott kulcs beszerzésével. A visszafejtő eszközök birtoklásának bizonyítékaként a támadók csak egy fájl visszafejtését ajánlják fel ingyenesen, feltéve, hogy az értékes információkat nem tartalmaz.
A visszafejtési költséget 980 dollárban határozzák meg, és 50%-os engedményt kapunk, ha az áldozatok 72 órán belül felveszik a kapcsolatot a fenyegetés szereplőivel. A jegyzet hangsúlyozza az adatok helyreállításának teljes lehetetlenségét a meghatározott fizetés nélkül. Az áldozatokat arra kérik, hogy vegyék fel a kapcsolatot a ransomware üzemeltetőivel a support@freshmail.top vagy a datarestorehelpyou@airmail.cc e-mail címen.
Hhaz Ransom Note teljes egészében
A Hhaz által készített váltságdíj teljes szövege a következő:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-5zKXJl7cwi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.To get this software you need write on our e-mail:
support@freshmail.topReserve e-mail address to contact us:
datarestorehelpyou@airmail.ccSzemélyi azonosítód:
Hogyan terjeszthető online a Ransomware, mint a Hhaz?
Az olyan zsarolóvírusokat, mint a Hhaz, általában különféle online csatornákon keresztül terjesztik, olyan taktikákat alkalmazva, amelyek célja a sebezhetőségek kihasználása és a felhasználók becsapása. Íme a zsarolóvírusok terjesztésére használt általános módszerek:
Rosszindulatú e-mail mellékletek:
A kiberbűnözők gyakran használnak adathalász e-maileket zsarolóprogramok terjesztésére. Ezek az e-mailek ártalmatlannak tűnő mellékleteket, például dokumentumokat vagy PDF-fájlokat tartalmazhatnak, amelyek ténylegesen hordozzák a rosszindulatú rakományt. E mellékletek megnyitása elindíthatja a zsarolóprogramok telepítését.
Fertőzött webhelyek és rosszindulatú hirdetések:
A feltört webhelyek látogatása vagy a rosszindulatú online hirdetésekre való kattintás (rosszindulatú hirdetések) ransomware-nek teheti ki a felhasználókat. A támadók kihasználhatják a webböngészők vagy a beépülő modulok sebezhetőségét a zsarolóprogramok továbbítására.
Exploit készletek:
A kizsákmányoló készletek olyan eszközök, amelyek a szoftver sebezhetőségeit célozzák meg rosszindulatú programok terjesztéséhez. A kiberbűnözők kihasználókészleteket használhatnak feltört vagy rosszindulatú webhelyeken, hogy automatikusan kihasználják a látogató szoftverének sebezhetőségeit, és zsarolóprogramokat telepítsenek.
Távoli asztali protokoll (RDP) támadások:
A kiberbűnözők megkísérelhetnek jogosulatlan hozzáférést szerezni a rendszerekhez gyenge vagy feltört Remote Desktop Protocol kapcsolaton keresztül. A bejutást követően közvetlenül a megcélzott rendszeren telepíthetik a zsarolóprogramokat.
Rosszindulatú linkek e-mailekben vagy üzenetekben:
A zsarolóvírus terjeszthető e-mailekben, azonnali üzenetekben vagy közösségi médiában lévő linkeken keresztül. Az ezekre a linkekre kattintva olyan rosszindulatú fájlok letöltéséhez és futtatásához vezethet, amelyek telepítik a zsarolóprogramot a felhasználó eszközére.
Öntözési lyuk támadásai:
A kiberbûnözõk a vízhiányos támadások során feltörik azokat a webhelyeket, amelyeket egy meghatározott célcsoport rendszeresen látogat. Ezeknek a webhelyeknek a megfertőzésével ransomware-t juttathatnak el a célközönséghez.
