Программа-вымогатель HUNTER шифрует содержимое системы

В ходе проверки образцов вредоносного ПО мы обнаружили HUNTER — вариант программы-вымогателя, принадлежащий семейству Phobos. Это вредоносное ПО шифрует файлы, изменяет их имена и отображает две записки о выкупе с пометками «info.txt» и «info.hta». Кроме того, программа-вымогатель HUNTER добавляет к именам файлов идентификатор жертвы, адрес электронной почты и расширение «.HUNTER».

Например, он преобразует «1.jpg» в «1.jpg.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER», а «2.png» в «2.png.id[ 9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER» и так далее. В записке о выкупе жертве сообщается о шифровании ее файлов из-за проблемы безопасности на ее компьютере. Он предоставляет адрес электронной почты (hunter-x@tuta.io) для связи с злоумышленниками и советует включать конкретный идентификатор в строку темы электронного письма. В случае отсутствия ответа в течение 24 часов жертве предлагается связаться с злоумышленниками через аккаунт Telegram (@Online7_365).

В записке требуется оплата в биткойнах за расшифровку, причем сумма варьируется в зависимости от того, насколько быстро жертва связывается с злоумышленниками. В качестве гарантии он предлагает бесплатную расшифровку до трех файлов при условии, что они имеют размер менее 4 МБ и не содержат ценной информации.

Кроме того, жертву предостерегают от переименования зашифрованных файлов или попыток расшифровки с помощью стороннего программного обеспечения, чтобы избежать безвозвратной потери данных или стать жертвой мошенничества.

Записка о выкупе ОХОТНИКА полностью

Полный текст записки о выкупе, созданной HUNTER во всплывающем окне и в файле info.hta, выглядит следующим образом:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Hunter-X@tuta.io
Write this ID in the title of your message -
If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Online7_365
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Как программа-вымогатель, похожая на HUNTER, может заразить вашу систему?

Программы-вымогатели, подобные HUNTER, могут заразить вашу систему различными способами, в том числе:

Фишинговые электронные письма. Одним из распространенных методов является использование фишинговых электронных писем, содержащих вредоносные вложения или ссылки. Эти электронные письма могут выглядеть законными и часто используют тактику социальной инженерии, чтобы заставить пользователей открывать вложения или нажимать на ссылки, которые затем загружают и запускают программу-вымогатель в систему.

Вредоносные веб-сайты. Посещение скомпрометированных или вредоносных веб-сайтов также может привести к заражению программами-вымогателями. Эти веб-сайты могут использовать уязвимости в веб-браузерах или плагинах для незаметной загрузки и установки программ-вымогателей в систему жертвы без их ведома и согласия.

Использование уязвимостей программного обеспечения. Программы-вымогатели могут использовать уязвимости в программном обеспечении, таком как операционные системы, веб-браузеры или плагины, для получения несанкционированного доступа к системе. Злоумышленники могут использовать известные уязвимости, для которых не были установлены исправления или обновления, что позволяет программе-вымогателю проникнуть в систему.

Атаки по протоколу удаленного рабочего стола (RDP). Злоумышленники-вымогатели могут нацеливаться на системы с открытыми или слабо защищенными соединениями по протоколу удаленного рабочего стола (RDP). Они могут использовать грубую силу или получить украденные учетные данные для получения несанкционированного доступа к системе и внедрения программ-вымогателей.

Вредоносные загрузки. Пользователи могут случайно загрузить программу-вымогатель, нажав на вредоносную рекламу, загрузив пиратское программное обеспечение или контент из ненадежных источников или установив поддельные обновления программного обеспечения или приложения с сомнительных веб-сайтов.

Вредоносная реклама. Вредоносная реклама или вредоносная реклама может перенаправлять пользователей на веб-сайты, на которых размещены наборы эксплойтов, доставляющие полезные данные программ-вымогателей. Эти объявления могут появляться на законных веб-сайтах и заражать системы пользователей без их участия или ведома.

Попутные загрузки. Программы- вымогатели также могут распространяться посредством попутных загрузок, при которых вредоносное ПО автоматически загружается и запускается, когда пользователь посещает взломанный веб-сайт или взаимодействует с вредоносным содержимым, встроенным в веб-страницы.