A Hyj Ransomware orosz nyelvű Ransom Note-ot állít elő
Kutatócsoportunk új fájlminták vizsgálata során bukkant rá a Hyj ransomware-re. Ez a rosszindulatú szoftver a Xorist ransomware család része. A kártevő az adatok titkosítására szolgál, és váltságdíjat követel a visszafejtéséért.
Amikor a tesztrendszerünkön egy mintát futtatott ebből a zsarolóprogramból, az titkosította a fájlokat, és ".hyj" kiterjesztést fűzött a fájlnevükhöz. Például az eredetileg "1.jpg" nevű fájlt "1.jpg.hyj"-vé alakították át, a "2.png"-ből pedig "2.png.hyj" lett, és így tovább az összes veszélyeztetett fájl esetében.
A titkosítási folyamat befejezése után két egyforma orosz nyelvű váltságdíjat generáltunk – az egyiket előugró ablakként, a másikat pedig „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt” néven. Érdemes megjegyezni, hogy ha a rendszer nem támogatja a cirill ábécét, akkor az előugró ablakban lévő szöveg érthetetlen karakterként jelenik meg.
A váltságdíjról szóló értesítés tudatja az áldozattal, hogy fájljait titkosították, és utasítja őket, hogy e-mailben küldjék el a visszafejtési folyamatot a támadóknak. Az üzenet arra is figyelmeztet, hogy a támadókkal való kapcsolatfelvétel elmulasztása a visszafejtési kulcsok törlését vonja maga után, ami lehetetlenné teszi az adatok helyreállítását.
Hyj Ransom Note Orosz nyelven komponált
A Hyj váltságdíj teljes szövege a következő:
Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на адрес почты, который нижжен.
desm4578@rambler.ru
Ждем ответа , если не получим ответа , удаляем ключи расшифровки Ваших файлов
Укажите в письме цифру 1
Hogyan kerülhet a Hyj-hez hasonló Ransomware a rendszerére?
Az olyan zsarolóvírusok, mint a Hyj, különféle módon behatolhatnak a rendszerébe, és kulcsfontosságú, hogy megértsük ezeket a belépési pontokat a számítógép jobb védelme érdekében. Íme, a ransomware gyakori módjai, amelyekkel a rendszerbe kerülhet:
- Adathalász e-mailek: A Ransomware gyakran adathalász e-maileken keresztül terjed. Előfordulhat, hogy olyan e-mailt kap, amely jogosnak tűnik, de rosszindulatú mellékleteket vagy hivatkozásokat tartalmaz. Ha ezekre a hivatkozásokra kattint, vagy megnyitja a fertőzött mellékleteket, akkor a ransomware fertőzés megindulhat.
- Rosszindulatú e-mail mellékletek: A kiberbűnözők e-maileket küldhetnek olyan mellékletekkel, amelyek megnyitásakor zsarolóvírust hajtanak végre a rendszerén. Ezek a mellékletek lehetnek számláknak, PDF-eknek vagy más ártalmatlannak tűnő fájloknak álcázva.
- Fertőzött webhelyek: A feltört vagy rosszindulatú webhelyek látogatása gyors letöltésekhez vezethet, ahol a zsarolóprogramok csendben, az Ön tudta nélkül telepítődnek a számítógépére. Az elavult bővítmények vagy szoftverek különösen érzékenyek lehetnek ezekre a támadásokra.
- Szoftver sebezhetősége: Az operációs rendszer vagy a szoftver biztonsági résének kihasználása egy másik módja annak, hogy a zsarolóvírusok bejussanak a rendszerbe. A védelem szempontjából kulcsfontosságú, hogy szoftverét a biztonsági javításokkal naprakészen tartsa.
- Nem javított szoftver: Ha nem frissíti vagy javítja a szoftvert, a rendszer sebezhetővé válik az ismert kizsákmányolásokkal szemben. A kiberbűnözők ezt kihasználva olyan ransomware-t fejlesztenek ki, amely ezeket a sebezhetőségeket célozza meg.
- Rosszindulatú reklámozás: Rosszindulatú hirdetések vagy rosszindulatú hirdetések legitim webhelyeken találhatók. Ha ezekre a hirdetésekre kattint, az ransomware fertőzéshez vezethet. A hirdetésblokkoló használata csökkentheti a kockázatot.