HWABAG Ransomware

A kiberbiztonsági kutatók a rosszindulatú programok fenyegetésének alapos elemzése után a HWABAG-ot a ransomware különösen erős formájaként jelölték meg. Vizsgálatuk során kiderült, hogy a HWABAG-ot egy meghatározott céllal hozták létre: hogy titkosítsa a fájlokat azokon az eszközökön, amelyekre sikeresen beszivárog. Sőt, ez nem ér véget – a HWABAG egészen az összes érintett fájl átnevezéséig megy. A zsarolóprogram áldozatai kettős váltságdíjat kapnak: az egyik egy felugró ablakon keresztül, a másik pedig egy „HWABAG.txt” fájl formájában érkezik.

A HWABAG által alkalmazott átnevezési folyamat magában foglalja bizonyos azonosítók hozzáfűzését a fájlnevekhez. Ezek közé tartozik az áldozat egyedi azonosítója, e-mail címe („cobson@hwabag.us”) és a „.HWABAG” kiterjesztés. Például egy eredetileg „1.png” nevű fájl „1.png.id-9ECFA74E.[cobson@hwabag.us].HWABAG”-ra, míg a „2.pdf”-ből „2.pdf.id” lesz. -9ECFA74E.[cobson@hwabag.us].HWABAG, és így tovább. A zsarolóprogramok ezen változatát határozottan a Dharma fenyegetések családjához kapcsolták.

A HWABAG Ransomware zárolja az érzékeny adatokat, és kizsarolja az áldozatokat

A HWABAG Ransomware-hez kapcsolódó váltságdíj-jegyzet egyértelmű üzenetet hordoz: minden fájl titkosításon esett át, így az áldozatok nem férhetnek hozzá adataikhoz. A fájl-helyreállítási folyamat elindításához az áldozatokat arra utasítják, hogy hozzanak létre egy szálat egy kijelölt webhelyen, és a tárgysorban adjanak meg egy konkrét azonosítót. Ha 24 órán belül nem érkezik válasz, az áldozat felveszi a kapcsolatot a megadott e-mail címen (cobson@hwabag.us) további útmutatásért.

A visszafejtési szolgáltatásokért Bitcoinban kell fizetni, a pontos összeg a kommunikáció sebességétől függ. A visszafejtő eszköz ígérete kíséri a fizetési igényt. Ezen túlmenően a jegyzet egy kis reménysugárt is kínál azáltal, hogy lehetővé teszi legfeljebb 5 korlátozott méretű és tartalmú fájl ingyenes visszafejtését. Mindazonáltal szigorú figyelmeztetés történik a titkosított fájlok átnevezésére vagy harmadik féltől származó visszafejtő szoftverek használatára irányuló kísérletek ellen, mivel ezek a műveletek tartós adatvesztést vagy költségnövekedést eredményezhetnek.

A fájltitkosításon túl a HWABAG további taktikákat alkalmaz a megcélzott rendszer biztonságának veszélyeztetésére. Aktívan dolgozik a tűzfal letiltásán, tovább téve a rendszert a rosszindulatú tevékenységeknek. Ezenkívül a zsarolóprogram szisztematikusan felszámolja az árnyékkötet-másolatokat, hatékonyan kiiktatva az esetleges visszaállítási pontokat.

Ezen túlmenően a HWABAG bemutatja, hogy képes helyadatokat kinyerni a feltört rendszerből, azzal a lehetőséggel, hogy bizonyos helyeket kizárjon ebből a kinyerési folyamatból. Ezenkívül perzisztencia-mechanizmusokat használ a rendszeren belüli folyamatos jelenlétének és funkcionalitásának biztosítására.

Szánjon időt eszközeinek és adatainak a zsarolóvírus-fenyegetések elleni védelmének fokozására

Az eszközök és adatok ransomware fenyegetések elleni védelmének fokozása magában foglalja a megelőző intézkedések és a proaktív stratégiák kombinációjának megvalósítását. A felhasználók a következőképpen javíthatják védekezésüket:

• A szoftver frissítése : Rendszeresen frissítse az operációs rendszereket, alkalmazásokat és biztonsági szoftvereket. A szoftverfrissítések gyakran tartalmaznak javításokat, amelyek javítják a zsarolóvírusok által kihasznált sebezhetőségeket.
• Megbízható biztonsági szoftver telepítése : Használjon jó hírű kártevőirtó szoftvert, amely valós idejű védelmet nyújt a zsarolóprogramok és más fenyegetések ellen. Engedélyezze az automatikus frissítéseket és a rendszeres vizsgálatokat.
• Használjon erős jelszavakat és többtényezős hitelesítést (MFA) : Használjon összetett jelszavakat, és lehetőség szerint engedélyezze az MFA-t, hogy további biztonsági réteget adjon. Kerülje a párosított jelszó használatát több fiókhoz.
• Felhasználók oktatása : Tanítsa meg a felhasználókat az adathalász e-mailek, a gyanús hivatkozások és a rosszindulatú mellékletek felismerésére. Tanítsd meg őket az e-mailek hitelességének ellenőrzésére, és arra, hogy legyenek elővigyázatosak a fájlok letöltésekor vagy a hivatkozásokra kattintva.
• Rendszeresen készítsen biztonsági másolatot az adatokról : Rendszeresen készítsen biztonsági másolatot a lényeges fájlokról, és biztonságosan mentse azokat offline vagy a felhőbe. Győződjön meg arról, hogy a biztonsági mentések automatizáltak, titkosítottak és rendszeresen teszteltek az adatok integritásának és visszaállítási képességeinek ellenőrzése érdekében.
• Felhasználói jogosultságok korlátozása : Alkalmazza a legkisebb jogosultság elvét, korlátozva a felhasználók hozzáférését a munkakörükhöz szükségesre. Ez segít csökkenteni a zsarolóvírusok hatását azáltal, hogy korlátozza a fájlok hálózaton való terjesztésének és titkosításának képességét.
• Tűzfalvédelem engedélyezése : Aktiválja és rendszeresen frissítse a tűzfalakat az eszközökön és hálózatokon a bejövő és kimenő forgalom szűrése és a potenciálisan káros kapcsolatok blokkolása érdekében.
• Hálózati tevékenység figyelése : behatolásészlelő és -megelőzési rendszereket valósítson meg, hogy megfigyelje a hálózati forgalmat a gyanús viselkedés és a lehetséges zsarolóprogram-tevékenység jelei miatt.

Ha ezeket a proaktív intézkedéseket beépítik kiberbiztonsági stratégiájukba, a felhasználók jelentősen fokozhatják védekezésüket a ransomware-fenyegetések ellen, és minimálisra csökkenthetik a támadások áldozatává válásának kockázatát.

A HWABAG Ransomware fő váltságdíj-jegyzete a következő:

'HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by HWABAG Ransomware contains the following message:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us'