Hhaz Ransomware vergrendelt slachtoffersystemen

Bij ons onderzoek naar nieuwe malwaremonsters hebben we Hhaz geïdentificeerd als een ransomwarevariant die verband houdt met de Djvu-familie. Uit ons onderzoek is gebleken dat Hhaz gegevens codeert, bestandsnamen wijzigt door de extensie ".hhaz" toe te voegen en een tekstbestand genereert met de naam "_readme.txt" met daarin een losgeldbrief.

Om het gedrag van Hhaz bij het hernoemen van bestanden te illustreren, verandert het "1.jpg" in "1.jpg.hhaz", "2.png" in "2.png.hhaz", enzovoort. De Djvu-ransomware wordt met name geassocieerd met informatiestelers.

Het losgeldbericht verzekert de beoogde persoon dat vergrendelde bestanden, waaronder afbeeldingen, databases en documenten, kunnen worden hersteld door een decoderingstool en een specifieke sleutel te verkrijgen. Als bewijs dat ze over de decoderingstools beschikken, bieden de aanvallers de decodering van slechts één bestand gratis aan, op voorwaarde dat daarin waardevolle informatie ontbreekt.

De decoderingskosten zijn vastgesteld op $ 980, met een korting van 50% als slachtoffers binnen een tijdsbestek van 72 uur contact opnemen met de bedreigingsactoren. De notitie benadrukt de absolute onmogelijkheid van gegevensherstel zonder de gespecificeerde betaling te doen. Slachtoffers wordt gevraagd contact op te nemen met de ransomware-exploitanten via e-mail op support@freshmail.top of datarestorehelpyou@airmail.cc.

Hhaz losgeldbrief volledig

De volledige tekst van het door Hhaz geproduceerde losgeldbriefje luidt als volgt:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-5zKXJl7cwi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Uw persoonlijke ID:

Hoe wordt ransomware zoals Hhaz online verspreid?

Ransomware zoals Hhaz wordt doorgaans verspreid via verschillende online kanalen, waarbij gebruik wordt gemaakt van tactieken die zijn ontworpen om kwetsbaarheden te misbruiken en gebruikers te misleiden. Hier volgen veelgebruikte methoden voor de distributie van ransomware:

Schadelijke e-mailbijlagen:
Cybercriminelen gebruiken vaak phishing-e-mails om ransomware te verspreiden. Deze e-mails kunnen ogenschijnlijk onschuldige bijlagen bevatten, zoals documenten of pdf's, die feitelijk de schadelijke lading bevatten. Het openen van deze bijlagen kan de installatie van de ransomware activeren.

Geïnfecteerde websites en malvertisements:
Het bezoeken van gecompromitteerde websites of het klikken op kwaadaardige online advertenties (malvertisements) kan gebruikers blootstellen aan ransomware. Aanvallers kunnen kwetsbaarheden in webbrowsers of plug-ins misbruiken om de ransomware-payload af te leveren.

Exploitkits:
Exploitkits zijn tools die zich richten op softwarekwetsbaarheden om malware te leveren. Cybercriminelen kunnen exploitkits op gecompromitteerde of kwaadaardige websites gebruiken om automatisch kwetsbaarheden in de software van de bezoeker te misbruiken en ransomware in te zetten.

Remote Desktop Protocol (RDP)-aanvallen:
Cybercriminelen kunnen proberen ongeautoriseerde toegang tot systemen te verkrijgen via zwakke of gecompromitteerde Remote Desktop Protocol-verbindingen. Eenmaal binnen kunnen ze ransomware rechtstreeks op het beoogde systeem inzetten.

Schadelijke links in e-mails of berichten:
Ransomware kan worden verspreid via links in e-mails, expresberichten of sociale media. Als u op deze links klikt, kan dit leiden tot het downloaden en uitvoeren van kwaadaardige bestanden die de ransomware op het apparaat van de gebruiker installeren.

Watering Hole-aanvallen:
Bij watering hole-aanvallen compromitteren cybercriminelen websites die regelmatig door een specifieke doelgroep worden bezocht. Door deze websites te infecteren, kunnen ze ransomware aan de doelgroep bezorgen.