HUNTER 勒索軟體加密系統內容
在檢查惡意軟體樣本時,我們發現了 HUNTER,這是屬於 Phobos 家族的勒索軟體變種。該惡意軟體會加密檔案、修改其檔案名,並提供兩個標記為「info.txt」和「info.hta」的勒索字條。此外,HUNTER 勒索軟體會將受害者的 ID、電子郵件地址和「.HUNTER」副檔名附加到檔案名稱中。
例如,它將“1.jpg”轉換為“1.jpg.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER”,將“2.png”轉換為“2.png.id [ 9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER」等。勒索信告訴受害者,由於 PC 上有安全問題,他們的檔案被加密。它提供了一個電子郵件地址(hunter-x@tuta.io)用於與攻擊者進行通信,並建議在電子郵件主題行中包含特定的 ID。如果 24 小時內沒有回复,受害者將被引導透過 Telegram 帳戶 (@Online7_365) 聯繫攻擊者。
該票據要求以比特幣支付解密費用,金額會根據受害者聯繫攻擊者的及時程度而有所不同。作為保證,它提供最多三個文件的免費解密,只要它們小於 4 MB 並且缺乏有價值的資訊。
此外,也警告受害者不要重新命名加密檔案或嘗試使用第三方軟體解密,以避免永久資料遺失或陷入詐騙。
HUNTER 勒索信全文
HUNTER在彈出視窗和info.hta檔案中產生的勒索字條的完整文字如下:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Hunter-X@tuta.io
Write this ID in the title of your message -
If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Online7_365
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
類似 HUNTER 的勒索軟體如何感染您的系統?
類似 HUNTER 的勒索軟體可以透過多種方法感染您的系統,包括:
網路釣魚電子郵件:一種常見的方法是透過包含惡意附件或連結的網路釣魚電子郵件。這些電子郵件可能看起來合法,並且經常採用社會工程策略來誘騙用戶打開附件或點擊鏈接,然後將勒索軟體下載到系統上並執行。
惡意網站:造訪受損或惡意網站也可能導致勒索軟體感染。這些網站可能會利用網路瀏覽器或外掛程式中的漏洞在受害者不知情或未經同意的情況下悄悄下載勒索軟體並將其安裝到受害者的系統上。
利用軟體漏洞:勒索軟體可以利用軟體(例如作業系統、Web 瀏覽器或外掛程式)中的漏洞來獲得對系統的未經授權的存取。攻擊者可以利用尚未應用修補程式或更新的已知漏洞,從而允許勒索軟體滲透系統。
遠端桌面協定 (RDP) 攻擊:勒索軟體攻擊者可能會針對遠端桌面協定 (RDP) 連線暴露或安全性較弱的系統。他們可以使用暴力攻擊或獲取被盜的憑證來獲得對系統的未經授權的存取並部署勒索軟體。
惡意下載:使用者可能會透過點擊惡意廣告、從不可信來源下載盜版軟體或內容、或從可疑網站安裝虛假軟體更新或應用程式來無意中下載勒索軟體。
惡意廣告:惡意廣告或惡意廣告可以將使用者重新導向至託管可提供勒索軟體負載的漏洞利用工具包的網站。這些廣告可能會出現在合法網站上,並可能在用戶互動或不知情的情況下感染用戶的系統。
偷渡式下載:勒索軟體也可以透過偷渡式下載傳播,當使用者造訪受感染的網站或與網頁中嵌入的惡意內容互動時,惡意軟體會自動下載並執行。
