Il ransomware Hhaz blocca i sistemi delle vittime

Dall'esame dei nuovi campioni di malware abbiamo identificato Hhaz come una variante del ransomware legata alla famiglia Djvu. La nostra indagine ha rivelato che Hhaz crittografa i dati, modifica i nomi dei file aggiungendo l'estensione ".hhaz" e genera un file di testo denominato "_readme.txt" contenente una richiesta di riscatto.

Per illustrare il comportamento di ridenominazione dei file di Hhaz, cambia "1.jpg" in "1.jpg.hhaz", "2.png" in "2.png.hhaz" e così via. Il ransomware Djvu è associato in particolare ai ladri di informazioni.

Il messaggio di riscatto assicura all'individuo preso di mira che i file bloccati, inclusi immagini, database e documenti, possono essere ripristinati ottenendo uno strumento di decrittazione e una chiave specifica. Come prova del possesso degli strumenti di decrittazione, gli aggressori offrono la decrittazione gratuita di un solo file, a condizione che non contenga informazioni preziose.

Il costo di decrittazione è fissato a 980 dollari, con uno sconto del 50% disponibile se le vittime contattano gli autori delle minacce entro un intervallo di tempo di 72 ore. La nota sottolinea l'assoluta impossibilità di recupero dei dati senza effettuare il pagamento specificato. Alle vittime viene detto di contattare gli operatori del ransomware via e-mail all'indirizzo support@freshmail.top o datarestorehelpyou@airmail.cc.

Nota di riscatto di Hhaz per intero

Il testo completo della richiesta di riscatto prodotta da Hhaz recita quanto segue:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-5zKXJl7cwi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Il tuo ID personale:

Come viene distribuito online il ransomware come Hhaz?

I ransomware come Hhaz vengono generalmente distribuiti attraverso vari canali online utilizzando tattiche progettate per sfruttare le vulnerabilità e ingannare gli utenti. Ecco i metodi comuni utilizzati per la distribuzione del ransomware:

Allegati e-mail dannosi:
I criminali informatici spesso utilizzano e-mail di phishing per distribuire ransomware. Queste e-mail possono contenere allegati apparentemente innocui, come documenti o PDF, che in realtà trasportano il carico dannoso. L'apertura di questi allegati può attivare l'installazione del ransomware.

Siti web infetti e malvertisement:
Visitare siti Web compromessi o fare clic su annunci pubblicitari online dannosi (malvertisement) può esporre gli utenti al ransomware. Gli aggressori possono sfruttare le vulnerabilità dei browser Web o dei plug-in per distribuire il carico utile del ransomware.

Kit di exploit:
I kit di exploit sono strumenti che prendono di mira le vulnerabilità del software per diffondere malware. I criminali informatici possono utilizzare kit di exploit su siti Web compromessi o dannosi per sfruttare automaticamente le vulnerabilità nel software del visitatore e distribuire ransomware.

Attacchi RDP (Remote Desktop Protocol):
I criminali informatici possono tentare di ottenere l'accesso non autorizzato ai sistemi attraverso connessioni Remote Desktop Protocol deboli o compromesse. Una volta entrati, possono distribuire il ransomware direttamente sul sistema preso di mira.

Collegamenti dannosi nelle e-mail o nei messaggi:
Il ransomware può essere distribuito tramite collegamenti contenuti in e-mail, messaggi istantanei o social media. Facendo clic su questi collegamenti è possibile che vengano scaricati ed eseguiti file dannosi che installano il ransomware sul dispositivo dell'utente.

Attacchi alle pozze d'acqua:
Negli attacchi Watering Hole i criminali informatici compromettono i siti web che vengono regolarmente visitati da un determinato gruppo target. Infettando questi siti Web, possono distribuire ransomware al pubblico di destinazione.