HWABAG 勒索软件

网络安全研究人员在对恶意软件威胁进行全面分析后，发现 HWABAG 是一种特别有效的勒索软件。他们的调查显示，HWABAG 有特定的目的：加密成功入侵的设备上的文件。此外，它还不止于此——HWABAG 甚至会重命名所有受影响的文件。这种勒索软件的受害者会收到两封勒索信：一封通过弹出窗口发送，另一封以“HWABAG.txt”文件的形式发送。

HWABAG 所采用的重命名过程涉及将某些标识符附加到文件名。这些标识符包括受害者的唯一 ID、他们的电子邮件地址（“cobson@hwabag.us”）和“.HWABAG”扩展名。例如，最初名为“1.png”的文件将转换为“1.png.id-9ECFA74E.[cobson@hwabag.us].HWABAG”，而“2.pdf”将变为“2.pdf.id-9ECFA74E.[cobson@hwabag.us].HWABAG”，依此类推。这种勒索软件变体已被证实与 Dharma 系列威胁有关。

HWABAG 勒索软件锁定敏感数据并勒索受害者

与 HWABAG 勒索软件相关的勒索信传达了一条明确的信息：所有文件都经过加密，受害者无法访问其数据。要启动文件恢复过程，受害者被指示在指定网站上创建一个线程，并在主题行中包含一个特定的 ID。如果受害者在 24 小时内未收到回复，则提示受害者联系提供的电子邮件地址 (cobson@hwabag.us) 获取进一步说明。

解密服务需要以比特币支付，具体金额取决于通信速度。解密工具的承诺伴随着付款需求。此外，该说明还提供了一线希望，允许免费解密最多 5 个大小和内容有限的文件。但是，对任何重命名加密文件或使用第三方解密软件的尝试都发出了严厉警告，因为这些操作可能会导致永久性数据丢失或成本增加。

除了文件加密之外，HWABAG 还采用其他策略来破坏目标系统的安全。它会主动禁用防火墙，使系统进一步暴露于恶意活动中。此外，勒索软件会系统地清除卷影副本，从而有效消除任何潜在的还原点。

此外，HWABAG 还展示了从受感染系统中提取位置数据的能力，并可选择从提取过程中排除特定位置。此外，它还利用持久性机制来确保其在系统中的持续存在和功能。

花时间增强设备和数据对勒索软件威胁的防御能力

增强设备和数据对勒索软件威胁的防御能力需要实施预防措施和主动策略相结合的措施。以下是用户可以增强防御能力的方法：

• 保持软件更新：定期更新操作系统、应用程序和安全软件。软件更新通常包含修复勒索软件利用的漏洞的补丁。
• 安装可靠的安全软件：使用信誉良好的反恶意软件，可以实时防御勒索软件和其他威胁。启用自动更新和定期扫描。
• 使用强密码和多重身份验证 (MFA) ：尽可能使用复杂密码并启用 MFA 以增加额外的安全层。避免对多个帐户使用成对的密码。
• 教育用户：培训用户如何识别钓鱼邮件、可疑链接和恶意附件。教他们验证邮件的合法性，并在下载文件或点击链接时保持谨慎。
• 定期备份数据：定期备份重要文件，并将其安全地离线保存或保存在云端。确保备份是自动的、加密的，并定期进行测试以验证数据完整性和恢复能力。
• 限制用户权限：应用最小权限原则，将用户访问权限限制为其工作职责所需的权限。通过限制勒索软件在网络上传播和加密文件的能力，这有助于减轻勒索软件的影响。
• 启用防火墙保护：激活并定期更新设备和网络上的防火墙，以过滤传入和传出的流量并阻止潜在的有害连接。
• 监控网络活动：实施入侵检测和预防系统，观察网络流量中是否存在可疑行为和潜在勒索软件活动的迹象。

通过将这些主动措施纳入网络安全策略，用户可以显著增强对勒索软件威胁的防御能力，并最大限度地降低成为攻击受害者的风险。

HWABAG 勒索软件的主要勒索信息如下：

'HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by HWABAG Ransomware contains the following message:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us'