Hyj Ransomware generuje list z żądaniem okupu w języku rosyjskim

Nasz zespół badaczy natknął się na oprogramowanie ransomware Hyj podczas badania nowych próbek plików. To złośliwe oprogramowanie jest częścią rodziny ransomware Xorist. Celem szkodliwego oprogramowania jest szyfrowanie danych i żądanie okupu za ich odszyfrowanie.

Po uruchomieniu próbki tego ransomware w naszym systemie testowym zaszyfrował on pliki i dodał do ich nazw rozszerzenie „.hyj”. Na przykład plik pierwotnie nazwany „1.jpg” został przekształcony w „1.jpg.hyj”, a plik „2.png” otrzymał nazwę „2.png.hyj” i tak dalej w przypadku wszystkich zainfekowanych plików.

Po sfinalizowaniu procesu szyfrowania wygenerowano dwie identyczne notatki z żądaniem okupu w języku rosyjskim – jedną w postaci wyskakującego okna i drugą w postaci pliku tekstowego o nazwie „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt”. Warto zaznaczyć, że jeśli system nie będzie wspierał cyrylicy, tekst w wyskakującym okienku będzie wyglądał jako niezrozumiałe znaki.

Notatka z żądaniem okupu informuje ofiarę, że jej pliki zostały zaszyfrowane i instruuje ją, aby zainicjowała proces odszyfrowywania poprzez wysłanie wiadomości e-mail do atakujących. Wiadomość ostrzega również, że brak kontaktu z atakującymi spowoduje usunięcie kluczy deszyfrujących, co uniemożliwi odzyskanie danych.

Hyj List z żądaniem okupu napisany w języku rosyjskim

Pełny tekst żądania okupu Hyj brzmi następująco:

Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на адрес почты, который указа w niczym.

desm4578@rambler.ru

Ждем ответа , если не получим ответа , удаляем ключи расшифровки Ваших файлов

Укажите в письме цифру 1

W jaki sposób oprogramowanie ransomware takie jak Hyj może dostać się do Twojego systemu?

Ransomware takie jak Hyj może przedostać się do systemu na różne sposoby, dlatego zrozumienie tych punktów wejścia jest niezwykle istotne, aby lepiej chronić komputer. Oto typowe sposoby, w jakie oprogramowanie ransomware może przedostać się do Twojego systemu:

• Wiadomości e-mail phishingowe: oprogramowanie ransomware często rozprzestrzenia się za pośrednictwem wiadomości e-mail phishingowych. Możesz otrzymać wiadomość e-mail, która wygląda na wiarygodną, ale zawiera złośliwe załączniki lub łącza. Kliknięcie tych linków lub otwarcie zainfekowanych załączników może zainicjować infekcję ransomware.
• Złośliwe załączniki do wiadomości e-mail: Cyberprzestępcy mogą wysyłać Ci wiadomości e-mail z załącznikami, które po otwarciu powodują uruchomienie oprogramowania ransomware w Twoim systemie. Załączniki te mogą być zamaskowane jako faktury, pliki PDF lub inne pozornie nieszkodliwe pliki.
• Zainfekowane witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może prowadzić do pobierania plików typu „drive-by”, podczas którego oprogramowanie ransomware jest dyskretnie instalowane na komputerze bez Twojej wiedzy. Nieaktualne wtyczki lub oprogramowanie mogą być szczególnie podatne na tego typu ataki.
• Luki w oprogramowaniu: wykorzystywanie luk w zabezpieczeniach systemu operacyjnego lub oprogramowania to kolejny sposób, w jaki oprogramowanie ransomware może przedostać się do systemu. Aktualizowanie oprogramowania za pomocą poprawek zabezpieczeń ma kluczowe znaczenie dla ochrony.
• Niezałatane oprogramowanie: Brak aktualizacji lub załatania oprogramowania może narazić system na znane exploity. Cyberprzestępcy wykorzystują to, opracowując oprogramowanie ransomware wykorzystujące te luki.
• Złośliwe reklamy: złośliwe reklamy, czyli złośliwe reklamy, można znaleźć na legalnych stronach internetowych. Kliknięcie tych reklam może prowadzić do infekcji ransomware. Korzystanie z modułu blokującego reklamy może zmniejszyć ryzyko.