Hhaz Ransomware blokuje systemy ofiar
Podczas badania nowych próbek złośliwego oprogramowania zidentyfikowaliśmy Hhaz jako wariant oprogramowania ransomware powiązany z rodziną Djvu. Nasze dochodzenie ujawniło, że Hhaz szyfruje dane, modyfikuje nazwy plików poprzez dodanie rozszerzenia „.hhaz” i generuje plik tekstowy o nazwie „_readme.txt” zawierający żądanie okupu.
Aby zilustrować zachowanie Hhaza podczas zmiany nazwy pliku, zmienia on „1.jpg” na „1.jpg.hhaz”, „2.png” na „2.png.hhaz” i tak dalej. Oprogramowanie ransomware Djvu jest w szczególności kojarzone z kradzieżami informacji.
Wiadomość z żądaniem okupu zapewnia ofiarę, że zablokowane pliki, w tym obrazy, bazy danych i dokumenty, można odzyskać, uzyskując narzędzie deszyfrujące i określony klucz. Jako dowód posiadania narzędzi deszyfrujących, osoby atakujące oferują bezpłatne odszyfrowanie tylko jednego pliku, pod warunkiem, że brakuje w nim cennych informacji.
Koszt odszyfrowania wynosi 980 dolarów, przy czym dostępna jest 50% zniżka, jeśli ofiara skontaktuje się z podmiotami zagrażającymi w ciągu 72 godzin. W notatce podkreśla się całkowitą niemożność odzyskania danych bez dokonania określonej płatności. Ofiary proszone są o skontaktowanie się z operatorami oprogramowania ransomware za pośrednictwem poczty elektronicznej pod adresem support@freshmail.top lub datarestorehelpyou@airmail.cc.
Pełna treść listu z żądaniem okupu Hhaza
Pełny tekst żądania okupu sporządzonego przez Hhaza brzmi następująco:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-5zKXJl7cwi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.To get this software you need write on our e-mail:
support@freshmail.topReserve e-mail address to contact us:
datarestorehelpyou@airmail.ccTwój dowód osobisty:
W jaki sposób oprogramowanie ransomware typu Hhaz jest dystrybuowane w Internecie?
Ransomware takie jak Hhaz jest zazwyczaj dystrybuowane za pośrednictwem różnych kanałów internetowych przy użyciu taktyk mających na celu wykorzystanie luk w zabezpieczeniach i oszukanie użytkowników. Oto typowe metody stosowane w dystrybucji oprogramowania ransomware:
Złośliwe załączniki do wiadomości e-mail:
Cyberprzestępcy często wykorzystują wiadomości e-mail phishingowe do dystrybucji oprogramowania ransomware. Te e-maile mogą zawierać pozornie nieszkodliwe załączniki, takie jak dokumenty lub pliki PDF, które w rzeczywistości zawierają szkodliwy ładunek. Otwarcie tych załączników może spowodować instalację oprogramowania ransomware.
Zainfekowane strony internetowe i złośliwe reklamy:
Odwiedzanie zainfekowanych witryn internetowych lub klikanie złośliwych reklam internetowych (złośliwych reklam) może narazić użytkowników na oprogramowanie ransomware. Osoby atakujące mogą wykorzystywać luki w przeglądarkach internetowych lub wtyczkach w celu dostarczenia oprogramowania ransomware.
Zestawy exploitów:
Zestawy exploitów to narzędzia atakujące luki w oprogramowaniu w celu dostarczania złośliwego oprogramowania. Cyberprzestępcy mogą wykorzystywać zestawy exploitów na zainfekowanych lub złośliwych stronach internetowych, aby automatycznie wykorzystywać luki w oprogramowaniu osoby odwiedzającej i instalować oprogramowanie ransomware.
Ataki na protokół Remote Desktop Protocol (RDP):
Cyberprzestępcy mogą próbować uzyskać nieautoryzowany dostęp do systemów poprzez słabe lub zagrożone połączenia protokołu Remote Desktop Protocol. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware bezpośrednio w docelowym systemie.
Złośliwe łącza w wiadomościach e-mail lub wiadomościach:
Ransomware może być dystrybuowane za pośrednictwem łączy w wiadomościach e-mail, komunikatorach internetowych lub mediach społecznościowych. Kliknięcie tych linków może spowodować pobranie i wykonanie złośliwych plików instalujących oprogramowanie ransomware na urządzeniu użytkownika.
Ataki wodopoju:
W przypadku ataków na wodopoje cyberprzestępcy atakują witryny regularnie odwiedzane przez określoną grupę docelową. Infekując te strony internetowe, mogą one dostarczać ransomware docelowym odbiorcom.
