HWABAG แรนซั่มแวร์
หลังจากการวิเคราะห์ภัยคุกคามมัลแวร์อย่างละเอียดแล้ว นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ชี้ว่า HWABAG นั้นเป็นแรนซัมแวร์รูปแบบหนึ่งที่มีศักยภาพเป็นพิเศษ การสืบสวนของพวกเขาได้เปิดเผยว่า HWABAG ถูกสร้างขึ้นมาโดยมีวัตถุประสงค์เฉพาะ: เพื่อเข้ารหัสไฟล์บนอุปกรณ์ที่มันแทรกซึมได้สำเร็จ ยิ่งไปกว่านั้น มันไม่ได้หยุดอยู่แค่นั้น HWABAG ยังดำเนินการเปลี่ยนชื่อไฟล์ที่ได้รับผลกระทบทั้งหมดอีกด้วย ผู้ที่ตกเป็นเหยื่อของแรนซัมแวร์นี้ต้องเผชิญกับบันทึกเรียกค่าไถ่แบบคู่ โดยรายการหนึ่งส่งผ่านหน้าต่างป๊อปอัป และอีกรายการหนึ่งอยู่ในรูปแบบของไฟล์ 'HWABAG.txt'
ขั้นตอนการเปลี่ยนชื่อที่ใช้โดย HWABAG เกี่ยวข้องกับการผนวกตัวระบุบางตัวเข้ากับชื่อไฟล์ ซึ่งรวมถึงรหัสเฉพาะของเหยื่อ ที่อยู่อีเมล ('cobson@hwabag.us') และนามสกุล '.HWABAG' ตัวอย่างเช่น ไฟล์เดิมชื่อ '1.png' จะถูกแปลงเป็น '1.png.id-9ECFA74E.[cobson@hwabag.us].HWABAG' ในขณะที่ '2.pdf' จะกลายเป็น '2.pdf.id -9ECFA74E.[cobson@hwabag.us].HWABAG,' และอื่นๆ แรนซัมแวร์รูปแบบนี้มีการเชื่อมโยงอย่างแน่ชัดกับภัยคุกคามตระกูลธรรมะ
HWABAG Ransomware ล็อคข้อมูลที่ละเอียดอ่อนและขู่กรรโชกเหยื่อ
หมายเหตุค่าไถ่ที่เกี่ยวข้องกับ HWABAG Ransomware ส่งข้อความที่ชัดเจน: ไฟล์ทั้งหมดได้รับการเข้ารหัส ส่งผลให้เหยื่อไม่สามารถเข้าถึงข้อมูลของพวกเขาได้ เพื่อเริ่มกระบวนการกู้คืนไฟล์ เหยื่อจะได้รับคำสั่งให้สร้างเธรดบนเว็บไซต์ที่กำหนด รวมถึง ID เฉพาะในบรรทัดหัวเรื่อง หากไม่ได้รับการตอบกลับภายใน 24 ชั่วโมง เหยื่อจะต้องติดต่อที่อยู่อีเมลที่ให้ไว้ (cobson@hwabag.us) เพื่อขอคำแนะนำเพิ่มเติม
การชำระเงินสำหรับบริการถอดรหัสนั้นเรียกร้องเป็น Bitcoins โดยจำนวนเงินที่แน่นอนขึ้นอยู่กับความเร็วของการสื่อสาร คำสัญญาของเครื่องมือถอดรหัสมาพร้อมกับความต้องการในการชำระเงิน นอกจากนี้ โน้ตยังมอบความหวังอันริบหรี่เล็กๆ น้อยๆ ด้วยการอนุญาตให้ถอดรหัสไฟล์ที่มีขนาดจำกัดและเนื้อหาได้สูงสุด 5 ไฟล์โดยไม่มีค่าใช้จ่าย อย่างไรก็ตาม มีการออกคำเตือนที่เข้มงวดต่อความพยายามที่จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสหรือใช้ซอฟต์แวร์ถอดรหัสของบุคคลที่สาม เนื่องจากการกระทำเหล่านี้อาจทำให้ข้อมูลสูญหายอย่างถาวรหรือมีค่าใช้จ่ายเพิ่มขึ้น
นอกเหนือจากการเข้ารหัสไฟล์แล้ว HWABAG ยังใช้กลยุทธ์เพิ่มเติมเพื่อลดความปลอดภัยของระบบเป้าหมาย มันทำงานอย่างแข็งขันเพื่อปิดการใช้งานไฟร์วอลล์ และทำให้ระบบเสี่ยงต่อกิจกรรมที่เป็นอันตราย ยิ่งไปกว่านั้น แรนซัมแวร์จะกำจัด Shadow Volume Copies อย่างเป็นระบบ และกำจัดจุดคืนค่าที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ
นอกจากนี้ HWABAG ยังแสดงให้เห็นถึงความสามารถในการดึงข้อมูลตำแหน่งออกจากระบบที่ถูกบุกรุก พร้อมตัวเลือกในการยกเว้นตำแหน่งเฉพาะจากกระบวนการแยกข้อมูลนี้ นอกจากนี้ยังใช้กลไกการคงอยู่เพื่อให้แน่ใจว่ามีอยู่และการทำงานอย่างต่อเนื่องภายในระบบ
ใช้เวลาในการเพิ่มการป้องกันอุปกรณ์และข้อมูลของคุณจากภัยคุกคามแรนซัมแวร์
การเพิ่มการป้องกันอุปกรณ์และข้อมูลจากภัยคุกคามแรนซัมแวร์เกี่ยวข้องกับการใช้มาตรการป้องกันและกลยุทธ์เชิงรุกร่วมกัน ต่อไปนี้คือวิธีที่ผู้ใช้สามารถปรับปรุงการป้องกันของตนได้:
- อัปเดตซอฟต์แวร์อยู่เสมอ : อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์รักษาความปลอดภัยเป็นประจำ การอัปเดตซอฟต์แวร์มักมีแพตช์ที่แก้ไขช่องโหว่ที่แรนซัมแวร์ใช้ประโยชน์
- ติดตั้งซอฟต์แวร์ความปลอดภัยที่เชื่อถือได้ : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงซึ่งสามารถให้การป้องกันแบบเรียลไทม์จากแรนซัมแวร์และภัยคุกคามอื่น ๆ เปิดใช้งานการอัปเดตอัตโนมัติและการสแกนปกติ
- ใช้รหัสผ่านที่รัดกุมและการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) : ใช้รหัสผ่านที่ซับซ้อนและเปิดใช้งาน MFA ทุกครั้งที่เป็นไปได้เพื่อเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติม หลีกเลี่ยงการใช้รหัสผ่านที่จับคู่สำหรับหลายบัญชี
- ให้ความรู้แก่ผู้ใช้ : ฝึกอบรมผู้ใช้เกี่ยวกับวิธีการจดจำอีเมลฟิชชิ่ง ลิงก์ที่น่าสงสัย และไฟล์แนบที่เป็นอันตราย สอนพวกเขาให้ตรวจสอบความถูกต้องของอีเมลและระมัดระวังในการดาวน์โหลดไฟล์หรือคลิกลิงก์
- สำรองข้อมูลเป็นประจำ : สร้างการสำรองข้อมูลไฟล์สำคัญเป็นประจำและบันทึกไว้อย่างปลอดภัยแบบออฟไลน์หรือในระบบคลาวด์ ตรวจสอบให้แน่ใจว่าการสำรองข้อมูลเป็นแบบอัตโนมัติ เข้ารหัส และทดสอบเป็นประจำเพื่อตรวจสอบความสมบูรณ์ของข้อมูลและความสามารถในการกู้คืน
- จำกัดสิทธิ์ของผู้ใช้ : ใช้หลักการของสิทธิ์ขั้นต่ำ โดยจำกัดการเข้าถึงของผู้ใช้เฉพาะสิ่งที่จำเป็นสำหรับบทบาทงานของพวกเขาเท่านั้น ซึ่งจะช่วยลดผลกระทบของแรนซัมแวร์โดยการจำกัดความสามารถในการแพร่กระจายและเข้ารหัสไฟล์ผ่านเครือข่าย
- เปิดใช้งานการป้องกันไฟร์วอลล์ : เปิดใช้งานและอัปเดตไฟร์วอลล์บนอุปกรณ์และเครือข่ายเป็นประจำเพื่อกรองการรับส่งข้อมูลขาเข้าและขาออก และบล็อกการเชื่อมต่อที่อาจเป็นอันตราย
- ตรวจสอบกิจกรรมเครือข่าย : ใช้ระบบตรวจจับและป้องกันการบุกรุกเพื่อสังเกตการรับส่งข้อมูลเครือข่ายเพื่อหาสัญญาณของพฤติกรรมที่น่าสงสัยและกิจกรรมแรนซัมแวร์ที่อาจเกิดขึ้น
ด้วยการรวมมาตรการเชิงรุกเหล่านี้เข้ากับกลยุทธ์ความปลอดภัยทางไซเบอร์ ผู้ใช้จึงสามารถเพิ่มประสิทธิภาพการป้องกันภัยคุกคามจากแรนซัมแวร์ได้อย่างมาก และลดความเสี่ยงที่จะตกเป็นเหยื่อของการโจมตี
หมายเหตุค่าไถ่หลักของ HWABAG Ransomware คือ:
'HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text file created by HWABAG Ransomware contains the following message:
all your data has been turned into coal
You want to return?
post thread on this website hxxps://soyjak.party/raid/
If no answer in 24 hours write here: cobson@hwabag.us'
