HUNTER Ransomware crittografa i contenuti del sistema

Durante l'esame dei campioni di malware abbiamo scoperto HUNTER, una variante del ransomware appartenente alla famiglia Phobos. Questo malware crittografa i file, ne modifica i nomi e presenta due richieste di riscatto etichettate "info.txt" e "info.hta". Inoltre, il ransomware HUNTER aggiunge l'ID della vittima, un indirizzo email e l'estensione ".HUNTER" ai nomi dei file.

Ad esempio, trasforma "1.jpg" in "1.jpg.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER" e "2.png" in "2.png.id[ 9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER," e così via. La richiesta di riscatto informa la vittima della crittografia dei propri file a causa di un problema di sicurezza sul proprio PC. Fornisce un indirizzo e-mail (hunter-x@tuta.io) per la comunicazione con gli aggressori e consiglia di includere un ID specifico nella riga dell'oggetto dell'e-mail. In assenza di risposta entro 24 ore, la vittima viene invitata a contattare gli aggressori tramite un account Telegram (@Online7_365).

La nota richiede il pagamento in Bitcoin per la decrittazione, con un importo che varia in base alla rapidità con cui la vittima contatta gli aggressori. Come garanzia offre la decrittazione gratuita di un massimo di tre file, a condizione che siano inferiori a 4 MB e privi di informazioni preziose.

Inoltre, la vittima viene messa in guardia dal rinominare file crittografati o dal tentare di decrittografarli utilizzando software di terze parti per evitare la perdita permanente di dati o cadere preda di truffe.

Nota di riscatto di HUNTER per intero

Il testo completo della richiesta di riscatto generata da HUNTER nella finestra pop-up e nel file info.hta è il seguente:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Hunter-X@tuta.io
Write this ID in the title of your message -
If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Online7_365
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

In che modo un ransomware simile a HUNTER può infettare il tuo sistema?

Il ransomware simile a HUNTER può infettare il tuo sistema attraverso vari metodi, tra cui:

E-mail di phishing: un metodo comune è tramite e-mail di phishing contenenti allegati o collegamenti dannosi. Queste e-mail possono sembrare legittime e spesso utilizzano tattiche di ingegneria sociale per indurre gli utenti ad aprire allegati o fare clic su collegamenti, che poi scaricano ed eseguono il ransomware nel sistema.

Siti Web dannosi: anche visitare siti Web compromessi o dannosi può portare a infezioni ransomware. Questi siti Web possono sfruttare le vulnerabilità dei browser Web o dei plug-in per scaricare e installare silenziosamente il ransomware sul sistema della vittima a sua insaputa o senza il suo consenso.

Sfruttare le vulnerabilità del software: il ransomware può sfruttare le vulnerabilità del software, come sistemi operativi, browser Web o plug-in, per ottenere l'accesso non autorizzato a un sistema. Gli aggressori possono sfruttare vulnerabilità note per le quali non sono state applicate patch o aggiornamenti, consentendo al ransomware di infiltrarsi nel sistema.

Attacchi RDP (Remote Desktop Protocol): gli aggressori ransomware possono prendere di mira i sistemi con connessioni RDP (Remote Desktop Protocol) esposte o scarsamente protette. Possono utilizzare attacchi di forza bruta o ottenere credenziali rubate per ottenere l'accesso non autorizzato al sistema e distribuire ransomware.

Download dannosi: gli utenti possono inavvertitamente scaricare ransomware facendo clic su annunci pubblicitari dannosi, scaricando software o contenuti piratati da fonti non affidabili o installando aggiornamenti software o applicazioni falsi da siti Web dubbi.

Malvertising: pubblicità dannose, o malvertising, possono reindirizzare gli utenti a siti Web che ospitano kit di exploit che forniscono payload ransomware. Questi annunci possono essere visualizzati su siti Web legittimi e possono infettare i sistemi degli utenti a loro insaputa o senza che essi ne siano a conoscenza.

Download drive-by: il ransomware può essere distribuito anche tramite download drive-by, in cui il malware viene automaticamente scaricato ed eseguito quando un utente visita un sito Web compromesso o interagisce con contenuti dannosi incorporati nelle pagine Web.