HWABAG Ransomware

Kyberturvallisuustutkijat ovat perusteellisen haittaohjelmauhkien analyysin jälkeen osoittaneet HWABAGin erityisen tehokkaaksi kiristysohjelmien muodoksi. Heidän tutkimuksensa on paljastanut, että HWABAG on suunniteltu tiettyyn tarkoitukseen: salata tiedostot laitteissa, joihin se onnistuneesti tunkeutuu. Lisäksi se ei lopu tähän – HWABAG menee myös niin pitkälle, että nimeää kaikki tiedostot uudelleen. Tämän kiristysohjelman uhrit kohtaavat kaksi lunnaita: toinen toimitetaan ponnahdusikkunan kautta ja toinen HWABAG.txt-tiedostona.

HWABAGin käyttämä uudelleennimeämisprosessi sisältää tiettyjen tunnisteiden liittämisen tiedostonimiin. Näitä ovat uhrin yksilöllinen tunnus, hänen sähköpostiosoitteensa ('cobson@hwabag.us') ja .HWABAG-tunniste. Esimerkiksi tiedosto, jonka alkuperäinen nimi oli 1.png, muutetaan muotoon 1.png.id-9ECFA74E.[cobson@hwabag.us].HWABAG, kun taas tiedostosta 2.pdf tulee 2.pdf.id. -9ECFA74E.[cobson@hwabag.us].HWABAG, ja niin edelleen. Tämä ransomware-versio on liitetty lopullisesti Dharma-uhkien perheeseen.

HWABAG Ransomware lukitsee arkaluontoiset tiedot ja kiristää uhreja

HWABAG Ransomwareen liittyvä lunnausselitys antaa selkeän viestin: kaikki tiedostot on salattu, joten uhrit eivät pääse käsiksi tietoihinsa. Tiedoston palautusprosessin aloittamiseksi uhreja neuvotaan luomaan ketju nimetylle verkkosivustolle ja lisäämään aiheriville tietty tunnus. Jos vastausta ei saada 24 tunnin kuluessa, uhri kehottaa ottamaan yhteyttä annettuun sähköpostiosoitteeseen (cobson@hwabag.us) lisäohjeita varten.

Salauksenpurkupalveluista vaaditaan maksu Bitcoineina, ja tarkka summa riippuu kommunikoinnin nopeudesta. Maksuvaatimuksen mukana on lupaus salauksen purkutyökalusta. Lisäksi muistiinpano tarjoaa pienen toivonpilkan sallimalla jopa 5 rajoitetun koon ja sisällön salauksen purkamisen ilmaiseksi. Kuitenkin annetaan ankara varoitus yrityksistä nimetä uudelleen salattuja tiedostoja tai käyttää kolmannen osapuolen salauksenpurkuohjelmistoa, koska nämä toimet voivat johtaa pysyvään tietojen menettämiseen tai kustannusten nousuun.

Tiedostosalauksen lisäksi HWABAG käyttää lisätaktiikoita kohdejärjestelmän turvallisuuden vaarantamiseksi. Se pyrkii aktiivisesti poistamaan palomuurin käytöstä ja altistaen järjestelmän edelleen sen haitallisille toimille. Lisäksi kiristysohjelma hävittää järjestelmällisesti Shadow Volume Copies -kopiot ja eliminoi tehokkaasti mahdolliset palautuspisteet.

Lisäksi HWABAG osoittaa kyvyn poimia sijaintitietoja vaarantuneesta järjestelmästä ja jättää tietyt sijainnit pois tästä poimintaprosessista. Lisäksi se käyttää pysyvyysmekanismeja varmistaakseen jatkuvan läsnäolon ja toimivuuden järjestelmässä.

Käytä aikaa tehostaaksesi laitteidesi ja tietojesi suojaa kiristyshaittaohjelmia vastaan

Laitteiden ja tietojen suojauksen tehostaminen kiristysohjelmauhkia vastaan edellyttää ennaltaehkäisevien toimenpiteiden ja ennakoivien strategioiden yhdistelmän toteuttamista. Näin käyttäjät voivat parantaa puolustuskykyään:

• Pidä ohjelmisto päivitettynä : Päivitä käyttöjärjestelmät, sovellukset ja tietoturvaohjelmistot säännöllisesti. Ohjelmistopäivitykset sisältävät usein korjaustiedostoja, jotka korjaavat kiristysohjelmien käyttämiä haavoittuvuuksia.
• Asenna luotettava suojausohjelmisto : Käytä hyvämaineisia haittaohjelmien torjuntaohjelmistoja, jotka voivat tarjota reaaliaikaisen suojan kiristysohjelmia ja muita uhkia vastaan. Ota käyttöön automaattiset päivitykset ja säännölliset tarkistukset.
• Käytä vahvoja salasanoja ja monivaiheista todennusta (MFA) : Käytä monimutkaisia salasanoja ja ota MFA käyttöön aina kun mahdollista lisätäksesi ylimääräisen suojauskerroksen. Vältä parillisen salasanan käyttöä useille tileille.
• Kouluta käyttäjiä : Opeta käyttäjiä tunnistamaan tietojenkalasteluviestit, epäilyttävät linkit ja haitalliset liitteet. Opeta heitä varmistamaan sähköpostien laillisuus ja olemaan varovainen lataaessaan tiedostoja tai napsauttamalla linkkejä.
• Varmuuskopioi tiedot säännöllisesti : Luo säännöllisiä varmuuskopioita tärkeistä tiedostoista ja tallenna ne turvallisesti offline-tilassa tai pilveen. Varmista, että varmuuskopiot ovat automatisoituja, salattuja ja testattu säännöllisesti tietojen eheyden ja palautusominaisuuksien varmistamiseksi.
• Rajoita käyttäjien oikeuksia : Käytä vähiten etuoikeuksien periaatetta rajoittamalla käyttäjien pääsyä vain siihen, mikä on tarpeen heidän työtehtävänsä kannalta. Tämä auttaa lieventämään kiristysohjelmien vaikutusta rajoittamalla sen kykyä levittää ja salata tiedostoja verkossa.
• Ota palomuurisuoja käyttöön : Aktivoi ja päivitä säännöllisesti laitteiden ja verkkojen palomuurit saapuvan ja lähtevän liikenteen suodattamiseksi ja mahdollisesti haitallisten yhteyksien estämiseksi.
• Valvo verkkotoimintaa : Ota käyttöön tunkeutumisen havainnointi- ja estojärjestelmiä verkkoliikenteen tarkkailemiseksi epäilyttävän toiminnan ja mahdollisen kiristysohjelmatoiminnan varalta.

Sisällyttämällä nämä ennakoivat toimenpiteet kyberturvallisuusstrategiaansa, käyttäjät voivat parantaa merkittävästi suojautumistaan kiristysohjelmien uhkia vastaan ja minimoida hyökkäysten uhriksi joutumisen riskin.

HWABAG Ransomwaren tärkein lunnaita on:

'HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by HWABAG Ransomware contains the following message:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us'