HUNTER 勒索软件加密系统内容

在检查恶意软件样本时，我们发现了 HUNTER，这是属于 Phobos 家族的勒索软件变种。该恶意软件会加密文件、修改文件名，并显示两个标有“info.txt”和“info.hta”的勒索信。此外，HUNTER 勒索软件还会将受害者的 ID、电子邮件地址和“.HUNTER”扩展名附加到文件名中。

例如，它将“1.jpg”转换为“1.jpg.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER”，将“2.png”转换为“2.png.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER”，等等。勒索信告诉受害者，由于其 PC 上的安全问题，他们的文件已被加密。它提供了一个电子邮件地址（hunter-x@tuta.io）用于与攻击者通信，并建议在电子邮件主题行中包含一个特定的 ID。如果 24 小时内没有回复，受害者将被指示通过 Telegram 帐户（@Online7_365）联系攻击者。

邮件要求受害者以比特币支付解密费用，金额取决于受害者联系攻击者的速度。作为保证，邮件最多可免费解密三个文件，前提是文件大小不超过 4 MB，且缺少有价值的信息。

此外，警告受害者不要重命名加密文件或尝试使用第三方软件解密，以避免永久性数据丢失或成为诈骗的受害者。

《猎人》赎金通知全文

HUNTER 在弹窗和 info.hta 文件中生成的勒索信全文如下：

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Hunter-X@tuta.io
Write this ID in the title of your message -
If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Online7_365
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

类似于 HUNTER 的勒索软件如何感染您的系统？

类似于 HUNTER 的勒索软件可以通过多种方法感染您的系统，包括：

网络钓鱼电子邮件：一种常见的方法是通过包含恶意附件或链接的网络钓鱼电子邮件。这些电子邮件可能看似合法，但通常采用社交工程策略诱骗用户打开附件或点击链接，然后将勒索软件下载并执行到系统中。

恶意网站：访问受感染或恶意的网站也可能导致勒索软件感染。这些网站可能会利用网络浏览器或插件中的漏洞，在受害者不知情或未经同意的情况下，悄悄下载勒索软件并将其安装到受害者的系统中。

利用软件漏洞：勒索软件可以利用软件（如操作系统、网络浏览器或插件）中的漏洞来获取对系统的未经授权的访问权限。攻击者可以利用尚未应用补丁或更新的已知漏洞，从而使勒索软件渗透到系统中。

远程桌面协议 (RDP) 攻击：勒索软件攻击者可能会攻击远程桌面协议 (RDP) 连接暴露或安全性较弱的系统。他们可以使用暴力攻击或窃取凭据来未经授权访问系统并部署勒索软件。

恶意下载：用户可能会通过点击恶意广告、从不可信来源下载盗版软件或内容、或者从可疑网站安装虚假软件更新或应用程序而无意中下载勒索软件。

恶意广告：恶意广告或恶意广告可将用户重定向到托管漏洞利用工具包的网站，这些工具包会传播勒索软件负载。这些广告可能会出现在合法网站上，并可能在用户不知情的情况下感染用户的系统。

驱动下载：勒索软件还可以通过驱动下载进行传播，当用户访问受感染的网站或与网页中嵌入的恶意内容交互时，恶意软件会自动下载并执行。