HUNTER Ransomware užšifruoja sistemos turinį

Nagrinėdami kenkėjiškų programų pavyzdžius, aptikome HUNTER – išpirkos reikalaujančios programinės įrangos variantą, priklausantį Phobos šeimai. Ši kenkėjiška programa užšifruoja failus, pakeičia jų pavadinimus ir pateikia du išpirkos užrašus, pažymėtus „info.txt“ ir „info.hta“. Be to, HUNTER ransomware prideda aukos ID, el. pašto adresą ir plėtinį ".HUNTER" prie failų pavadinimų.

Pavyzdžiui, jis paverčia „1.jpg“ į „1.jpg.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER“ ir „2.png“ į „2.png.id[ 9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER“ ir pan. Išpirkos raštelyje aukai pasakojama apie jų failų šifravimą dėl kompiuterio saugumo problemos. Jame pateikiamas el. pašto adresas (hunter-x@tuta.io), skirtas bendrauti su užpuolikais, ir patariama įtraukti konkretų ID į el. laiško temos eilutę. Jei per 24 valandas neatsakoma, auka nukreipiama susisiekti su užpuolikais per Telegram paskyrą (@Online7_365).

Užraše reikalaujama sumokėti bitkoinais už iššifravimą, o suma skiriasi priklausomai nuo to, kaip greitai auka susisiekia su užpuolikais. Kaip garantija, ji siūlo nemokamą iki trijų failų iššifravimą, jei jie yra mažesni nei 4 MB ir juose trūksta vertingos informacijos.

Be to, auka įspėjama nepervardyti šifruotų failų arba bandyti iššifruoti naudojant trečiosios šalies programinę įrangą, kad išvengtų nuolatinio duomenų praradimo arba netaptų sukčių aukomis.

„HUNTER Ransom Note“ visas

Visas HUNTER sugeneruotas išpirkos rašto tekstas iššokančiame lange ir info.hta faile skamba taip:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Hunter-X@tuta.io
Write this ID in the title of your message -
If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Online7_365
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Kaip „Ransomware“, panaši į „HUNTER“, gali užkrėsti jūsų sistemą?

Išpirkos reikalaujančios programos, panašios į HUNTER, gali užkrėsti jūsų sistemą įvairiais būdais, įskaitant:

Sukčiavimo el. laiškai: vienas įprastas būdas yra sukčiavimo el. laiškai, kuriuose yra kenkėjiškų priedų ar nuorodų. Šie el. laiškai gali atrodyti teisėti ir juose dažnai naudojama socialinės inžinerijos taktika, siekiant apgauti vartotojus atidaryti priedus arba spustelėti nuorodas, kurios vėliau atsisiunčia ir paleidžia išpirkos reikalaujančią programinę įrangą į sistemą.

Kenkėjiškos svetainės: apsilankymas pažeistose ar kenkėjiškose svetainėse taip pat gali sukelti išpirkos reikalaujančių programų užkrėtimą. Šios svetainės gali išnaudoti žiniatinklio naršyklių arba papildinių pažeidžiamumą ir tyliai atsisiųsti išpirkos reikalaujančią programinę įrangą į aukos sistemą be jos žinios ar sutikimo.

Programinės įrangos pažeidžiamumų išnaudojimas: „Ransomware“ gali išnaudoti programinės įrangos, pvz., operacinių sistemų, žiniatinklio naršyklių ar papildinių, spragas, kad gautų neteisėtą prieigą prie sistemos. Užpuolikai gali išnaudoti žinomas spragas, kurių pataisos ar atnaujinimai nebuvo pritaikyti, todėl išpirkos reikalaujančios programos gali įsiskverbti į sistemą.

Nuotolinio darbalaukio protokolo (RDP) atakos: Ransomware užpuolikai gali nusitaikyti į sistemas su atviromis arba silpnai apsaugotomis Remote Desktop Protocol (RDP) jungtimis. Jie gali naudoti žiaurios jėgos atakas arba gauti pavogtus kredencialus, kad gautų neteisėtą prieigą prie sistemos ir įdiegtų išpirkos reikalaujančią programinę įrangą.

Kenkėjiški atsisiuntimai: vartotojai gali netyčia atsisiųsti išpirkos reikalaujančių programų spustelėdami kenkėjiškus skelbimus, atsisiųsdami piratinę programinę įrangą ar turinį iš nepatikimų šaltinių arba įdiegdami netikrus programinės įrangos naujinius ar programas iš abejotinų svetainių.

Kenkėjiška reklama: kenkėjiškos reklamos arba kenkėjiška reklama gali nukreipti vartotojus į svetaines, kuriose talpinami išnaudojimo rinkiniai, teikiantys išpirkos reikalaujančių programų naudingąsias apkrovas. Šie skelbimai gali būti rodomi teisėtose svetainėse ir gali užkrėsti naudotojų sistemas be jų sąveikos ar žinios.

Atsisiuntimai pagal vairuotoją: Ransomware taip pat gali būti pristatyta naudojant greitą atsisiuntimą, kai kenkėjiška programa automatiškai atsisiunčiama ir vykdoma, kai vartotojas apsilanko pažeistoje svetainėje arba sąveikauja su kenkėjišku turiniu, įterptu tinklalapiuose.