HBM Ransomware — новый клон Дхармы
Исследователи обнаружили новый вариант программы-вымогателя, принадлежащий к семейству клонов Dharma. Новая версия называется вымогателем HBM.
HBM шифрует документы, медиафайлы, архивы и базы данных на дисках системы-жертвы. Как только файлы зашифрованы, они меняют имя.
Программа-вымогатель HMB добавляет идентификационный код жертвы, адрес электронной почты, используемый оператором программы-вымогателя, и строку «.HBM» к именам зашифрованных файлов. Это означает, что файл с первоначальным названием «archive.zip» превратится в «archive.zip.id-VICTIM ID.[hebem@cock.li].HBM».
Программа-вымогатель создала файл с именем «info.txt», который содержит более короткую версию записки о выкупе. Другая, более длинная версия отображается во всплывающем окне и выглядит следующим образом:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ДХАРМА
Не волнуйтесь, вы можете вернуть все свои файлы!
Если вы хотите их восстановить, напишите на почту: hebem at cock dot li ВАШ ID -
Если вам не ответили по почте в течение 12 часов, напишите нам на другую почту: hebem at tuta dot io
ВНИМАНИЕ!
Мы рекомендуем вам связаться с нами напрямую, чтобы избежать переплаты агентам
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.