HWABAG Ransomware

Raziskovalci kibernetske varnosti so po temeljiti analizi groženj zlonamerne programske opreme določili HWABAG kot posebno močno obliko izsiljevalske programske opreme. Njihova preiskava je razkrila, da je HWABAG izdelan s posebnim namenom: šifriranje datotek v napravah, v katere se uspešno infiltrira. Poleg tega se tu ne ustavi – HWABAG gre tudi tako daleč, da preimenuje vse prizadete datoteke. Žrtve te izsiljevalske programske opreme se soočijo z dvojnimi opombami o odkupnini: ena je poslana prek pojavnega okna, druga pa v obliki datoteke »HWABAG.txt«.

Postopek preimenovanja, ki ga uporablja HWABAG, vključuje dodajanje določenih identifikatorjev imenom datotek. Ti vključujejo enolični ID žrtve, njen e-poštni naslov ('cobson@hwabag.us') in končnico '.HWABAG'. Na primer, datoteka s prvotnim imenom »1.png« bi bila spremenjena v »1.png.id-9ECFA74E.[cobson@hwabag.us].HWABAG«, medtem ko bi »2.pdf« postal »2.pdf.id -9ECFA74E.[cobson@hwabag.us].HWABAG,' in tako naprej. Ta različica izsiljevalske programske opreme je bila dokončno povezana z družino groženj Dharma.

Izsiljevalska programska oprema HWABAG zaklene občutljive podatke in izsiljuje žrtve

Obvestilo o odkupnini, povezano z izsiljevalsko programsko opremo HWABAG, prinaša jasno sporočilo: vse datoteke so bile šifrirane, zaradi česar žrtve nimajo dostopa do svojih podatkov. Za začetek postopka obnovitve datoteke je žrtvam naročeno, naj ustvarijo nit na določenem spletnem mestu, vključno z določenim ID-jem v vrstici z zadevo. Če v 24 urah ne prejme odgovora, se mora žrtev obrniti na navedeni e-poštni naslov (cobson@hwabag.us) za nadaljnja navodila.

Plačilo storitev dešifriranja se zahteva v bitcoinih, natančen znesek pa je odvisen od hitrosti komunikacije. Zahtevo po plačilu spremlja obljuba orodja za dešifriranje. Poleg tega beležka ponuja majhen žarek upanja, saj omogoča brezplačno dešifriranje do 5 datotek omejene velikosti in vsebine. Vendar je izdano strogo opozorilo pred kakršnimi koli poskusi preimenovanja šifriranih datotek ali uporabe programske opreme za dešifriranje tretjih oseb, saj lahko ta dejanja povzročijo trajno izgubo podatkov ali povečane stroške.

Poleg šifriranja datotek HWABAG uporablja dodatne taktike za ogrožanje varnosti ciljnega sistema. Aktivno deluje tako, da onemogoči požarni zid, kar dodatno izpostavlja sistem njegovim zlonamernim dejavnostim. Poleg tega izsiljevalska programska oprema sistematično izkorenini kopije senčnih nosilcev in tako učinkovito odstrani morebitne obnovitvene točke.

Poleg tega HWABAG dokazuje zmožnost pridobivanja podatkov o lokaciji iz ogroženega sistema z možnostjo izključitve določenih lokacij iz tega postopka pridobivanja. Poleg tega uporablja mehanizme obstojnosti, da zagotovi svojo stalno prisotnost in funkcionalnost v sistemu.

Vzemite si čas in okrepite obrambo svojih naprav in podatkov pred grožnjami izsiljevalske programske opreme

Povečanje zaščite naprav in podatkov pred grožnjami izsiljevalske programske opreme vključuje izvajanje kombinacije preventivnih ukrepov in proaktivnih strategij. Tukaj je opisano, kako lahko uporabniki izboljšajo svojo obrambo:

• Posodabljajte programsko opremo : redno posodabljajte operacijske sisteme, aplikacije in varnostno programsko opremo. Posodobitve programske opreme pogosto vključujejo popravke, ki odpravljajo ranljivosti, ki jih izkorišča izsiljevalska programska oprema.
• Namestite zanesljivo varnostno programsko opremo : uporabite ugledno programsko opremo proti zlonamerni programski opremi, ki lahko zagotovi zaščito v realnem času pred izsiljevalsko programsko opremo in drugimi grožnjami. Omogočite samodejne posodobitve in redne preglede.
• Uporabite močna gesla in večfaktorsko avtentikacijo (MFA) : uporabite zapletena gesla in omogočite MFA, kjer koli je to mogoče, da dodate dodatno raven varnosti. Izogibajte se uporabi seznanjenega gesla za več računov.
• Izobražite uporabnike : naučite uporabnike, kako prepoznati lažna e-poštna sporočila, sumljive povezave in zlonamerne priloge. Naučite jih, naj preverijo legitimnost e-poštnih sporočil in naj bodo previdni pri prenašanju datotek ali klikanju povezav.
• Redno varnostno kopirajte podatke : ustvarite redne varnostne kopije bistvenih datotek in jih varno shranite brez povezave ali v oblaku. Zagotovite, da so varnostne kopije avtomatizirane, šifrirane in redno testirane, da preverite celovitost podatkov in zmožnosti obnavljanja.
• Omejite uporabniške privilegije : Uporabite načelo najmanjših privilegijev, tako da uporabniku omejite dostop le na tisto, kar je potrebno za njihovo delovno vlogo. To pomaga ublažiti vpliv izsiljevalske programske opreme z omejevanjem njene zmožnosti širjenja in šifriranja datotek po omrežju.
• Omogoči zaščito požarnega zidu : aktivirajte in redno posodabljajte požarne zidove na napravah in omrežjih, da filtrirate dohodni in odhodni promet ter blokirate potencialno škodljive povezave.
• Spremljajte omrežno dejavnost : implementirajte sisteme za zaznavanje in preprečevanje vdorov za opazovanje omrežnega prometa za znake sumljivega vedenja in morebitne dejavnosti izsiljevalske programske opreme.

Z vključitvijo teh proaktivnih ukrepov v svojo strategijo kibernetske varnosti lahko uporabniki bistveno izboljšajo svojo obrambo pred grožnjami izsiljevalske programske opreme in zmanjšajo tveganje, da bi postali žrtve napadov.

Glavna opomba o odkupnini izsiljevalske programske opreme HWABAG je:

'HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by HWABAG Ransomware contains the following message:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us'