Hhaz Ransomware bloqueia sistemas de vítimas
Em nosso exame de novas amostras de malware, identificamos o Hhaz como uma variante de ransomware ligada à família Djvu. A nossa investigação revelou que Hhaz encripta dados, modifica nomes de ficheiros anexando a extensão ".hhaz" e gera um ficheiro de texto denominado "_readme.txt" contendo uma nota de resgate.
Para ilustrar o comportamento de renomeação de arquivos do Hhaz, ele altera "1.jpg" para "1.jpg.hhaz", "2.png" para "2.png.hhaz" e assim por diante. O ransomware Djvu está notavelmente associado a ladrões de informações.
A mensagem de resgate garante ao indivíduo visado que os arquivos bloqueados, incluindo imagens, bancos de dados e documentos, podem ser restaurados obtendo uma ferramenta de descriptografia e uma chave específica. Como prova de possuir as ferramentas de desencriptação, os atacantes oferecem a desencriptação de apenas um ficheiro gratuitamente, desde que falte informação valiosa.
O custo de descriptografia é fixado em US$ 980, com um desconto de 50% disponível se as vítimas entrarem em contato com os atores da ameaça dentro de um prazo de 72 horas. A nota enfatiza a absoluta impossibilidade de recuperação de dados sem efetuar o pagamento especificado. As vítimas são instruídas a entrar em contato com os operadores de ransomware por e-mail em support@freshmail.top ou datarestorehelpyou@airmail.cc.
Nota de resgate de Hhaz completa
O texto completo da nota de resgate produzida por Hhaz é o seguinte:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-5zKXJl7cwi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.To get this software you need write on our e-mail:
support@freshmail.topReserve e-mail address to contact us:
datarestorehelpyou@airmail.ccSua identificação pessoal:
Como o Ransomware Like Hhaz é distribuído online?
Ransomware como o Hhaz normalmente é distribuído por meio de vários canais on-line, usando táticas projetadas para explorar vulnerabilidades e enganar os usuários. Aqui estão os métodos comuns empregados para a distribuição de ransomware:
Anexos de e-mail maliciosos:
Os cibercriminosos costumam usar e-mails de phishing para distribuir ransomware. Esses e-mails podem conter anexos aparentemente inofensivos, como documentos ou PDFs, que na verdade carregam a carga maliciosa. Abrir esses anexos pode desencadear a instalação do ransomware.
Sites infectados e malvertisements:
Visitar sites comprometidos ou clicar em anúncios online maliciosos (malvertisements) pode expor os usuários a ransomware. Os invasores podem explorar vulnerabilidades em navegadores da web ou plug-ins para entregar a carga do ransomware.
Kits de exploração:
Os kits de exploração são ferramentas que visam vulnerabilidades de software para entregar malware. Os cibercriminosos podem usar kits de exploração em sites comprometidos ou maliciosos para explorar automaticamente vulnerabilidades no software do visitante e implantar ransomware.
Ataques de protocolo de área de trabalho remota (RDP):
Os cibercriminosos podem tentar obter acesso não autorizado aos sistemas através de conexões fracas ou comprometidas do Remote Desktop Protocol. Uma vez lá dentro, eles podem implantar ransomware diretamente no sistema de destino.
Links maliciosos em e-mails ou mensagens:
O ransomware pode ser distribuído por meio de links em e-mails, mensagens instantâneas ou mídias sociais. Clicar nesses links pode levar ao download e execução de arquivos maliciosos que instalam o ransomware no dispositivo do usuário.
Ataques de Watering Hole:
Nos ataques watering hole, os cibercriminosos comprometem sites que são visitados regularmente por um grupo-alvo específico. Ao infectar esses sites, eles podem entregar ransomware ao público-alvo.
