Программа-вымогатель Hgjzitlxe нацелена на бизнес

В ходе нашего анализа образцов вредоносных программ мы обнаружили Hgjzitlxe, тип программ-вымогателей, связанных с семейством Snatch. Наше расследование показало, что Hgjzitlxe шифрует файлы и добавляет собственное расширение (".hgjzitlxe") к исходным именам файлов. Чтобы еще больше запугать жертв, он создает записку с требованием выкупа под названием «КАК ВОССТАНОВИТЬ ВАШ HGJZITLXE FILES.TXT».

В качестве примера поведения модификации файлов Hgjzitlxe заменяет «1.jpg» на «1.jpg.hgjzitlxe», «2.png» на «2.png.hgjzitlxe» и так далее.

Записка о выкупе информирует жертв о том, что их сеть прошла тест на проникновение, что привело к шифрованию их файлов. Злоумышленники утверждают, что скачали более 100 ГБ данных, включая личную информацию, маркетинговые данные, конфиденциальные документы, бухгалтерские записи, базы данных SQL и копии архивов электронной почты.

Жертвам настоятельно не рекомендуется пытаться самостоятельно расшифровывать файлы или использовать сторонние инструменты, поскольку в примечании подчеркивается, что только их конкретный дешифратор может эффективно восстановить файлы. Чтобы предотвратить возможный обман со стороны посредников, в примечании рекомендуется напрямую общаться с субъектами угрозы.

Чтобы собрать доказательства, изучить возможные решения и запросить дешифратор, жертвам предлагается связаться с киберпреступниками по предоставленным адресам электронной почты: candice.wood@post.cz или candice.wood@swisscows.email. Альтернативный способ связи предлагается через Tox чат.

Записка о выкупе заканчивается предупреждением о том, что если в течение трех дней не будет получено ответа, киберпреступники сделают зашифрованные файлы общедоступными.

В записке о выкупе Hgjzitlxe указано, что хакеры нацелены на бизнес

Полный текст записки о выкупе выглядит следующим образом:

ВСЯ СЕТЬ ЗАШИФРОВАНА, ВАШ БИЗНЕС ТЕРЯЕТ ДЕНЬГИ!

Уважаемый Администрация! Сообщаем вам, что ваша сеть прошла тест на проникновение, в ходе которого мы зашифровали
ваши файлы и загрузил более 100 ГБ ваших данных

Личные данные
Маркетинговые данные
Конфиденциальные документы
Бухгалтерский учет
Базы данных SQL
Копия некоторых почтовых ящиков

Важный! Не пытайтесь расшифровать файлы самостоятельно или с помощью сторонних утилит.
Единственная программа, которая может их расшифровать, — это наш расшифровщик, который вы можете запросить по контактам, указанным ниже.
Любая другая программа только повредит файлы таким образом, что восстановить их будет невозможно.
Пишите нам напрямую, не прибегая к посредникам, они вас обманут.

Вы можете получить все необходимые доказательства, обсудить с нами возможные решения этой проблемы и запросить расшифровщик
воспользовавшись указанными ниже контактами.
Обратите внимание, что если мы не получим от вас ответа в течение 3 дней, мы оставляем за собой право опубликовать файлы для всеобщего обозрения.

Связаться с нами:
candice.wood@post.cz или candice.wood@swisscows.email

Дополнительные способы общения в токс чате
идентификатор токсина:
(буквенно-цифровая строка)

Как программы-вымогатели, такие как Hgjzitlxe, могут проникнуть в вашу систему?

Программы-вымогатели, такие как Hgjzitlxe, могут проникнуть в вашу систему различными способами. Вот несколько распространенных способов, которыми программы-вымогатели могут проникнуть в вашу систему:

• Фишинговые электронные письма: один из наиболее распространенных методов — это фишинговые электронные письма. Вы можете получить электронное письмо, которое кажется законным, но содержит вредоносное вложение или ссылку, при нажатии на которую программа-вымогатель загружается в вашу систему.
• Вредоносные загрузки: программы-вымогатели также могут быть неосознанно загружены, когда вы посещаете взломанные веб-сайты или нажимаете на вредоносные рекламные объявления. Эти загрузки могут быть замаскированы под законное программное обеспечение или файлы, обманным путем заставляя вас выполнять их и заражая вашу систему.
• Использование уязвимостей: программы-вымогатели могут использовать уязвимости в вашей операционной системе, программном обеспечении или приложениях. Киберпреступники активно ищут слабые места в системе безопасности, которые они могут использовать для получения несанкционированного доступа и развертывания программ-вымогателей в вашей системе.
• Вредоносные веб-сайты и вредоносная реклама. Посещение скомпрометированных или вредоносных веб-сайтов может привести к автоматической загрузке и установке программ-вымогателей без вашего ведома. Аналогичным образом вредоносная реклама (вредоносная реклама) может распространять программы-вымогатели, внедряя их в онлайн-рекламу.
• Атаки по протоколу удаленного рабочего стола (RDP): если у вас включен и плохо настроен протокол удаленного рабочего стола, злоумышленники могут использовать слабые учетные данные или учетные данные по умолчанию для получения удаленного доступа к вашей системе и развертывания программ-вымогателей.
• Загрузки с диска: программа-вымогатель может быть автоматически загружена и установлена при посещении скомпрометированных веб-сайтов, на которые был внедрен вредоносный код. Это происходит без какого-либо взаимодействия или знаний пользователя.
• Использование сетевых уязвимостей: программы-вымогатели могут распространяться в сети, используя уязвимости в сетевых протоколах или незащищенных системах. Оказавшись внутри сети, он может быстро распространяться и заражать другие устройства.