HWABAG 勒索軟體

網路安全研究人員在對惡意軟體威脅進行徹底分析後，發現 HWABAG 是一種特別有效的勒索軟體形式。他們的調查顯示，HWABAG 的設計有特定目的：對其成功滲透的裝置上的文件進行加密。此外，它還不止於此 - HWABAG 還重命名所有受影響的文件。該勒索軟體的受害者面臨雙重勒索訊息：一個透過彈出視窗發送，另一個以「HWABAG.txt」檔案的形式發送。

HWABAG 採用的重新命名過程涉及將某些識別碼附加到檔案名稱。其中包括受害者的唯一 ID、電子郵件地址（“cobson@hwabag.us”）和“.HWABAG”擴展名。例如，最初名為“1.png”的文件將轉換為“1.png.id-9ECFA74E.[cobson@hwabag.us].HWABAG”，而“2.pdf”將轉換為“2.pdf.id ” -9ECFA74E.[cobson@hwabag.us].HWABAG，”等等。這種勒索軟體變種已確定與 Dharma 系列威脅有關。

HWABAG 勒索軟體鎖定敏感資料並勒索受害者

與 HWABAG 勒索軟體相關的勒索字條傳達了一個明確的訊息：所有檔案都經過加密，使受害者無法存取其資料。為了啟動檔案復原過程，受害者會被指示在指定網站上建立一個線程，並在主題行中包含特定的 ID。未能在 24 小時內收到回覆會提示受害者聯繫所提供的電子郵件地址 (cobson@hwabag.us) 以獲取進一步說明。

解密服務需要用比特幣支付，具體金額取決於通訊速度。解密工具的承諾伴隨著付款的需求。此外，該說明允許免費解密最多 5 個大小和內容有限的文件，從而帶來了一線希望。但是，我們對任何重命名加密檔案或使用第三方解密軟體的嘗試發出嚴厲警告，因為這些行為可能會導致永久性資料遺失或增加成本。

除了檔案加密之外，HWABAG 還採用其他策略來損害目標系統的安全性。它會主動停用防火牆，使系統進一步暴露於其惡意活動之下。此外，勒索軟體會系統性地消除影集副本，從而有效地消除任何潛在的還原點。

此外，HWABAG 還展示了從受感染系統中提取位置數據的能力，並可以選擇從提取過程中排除特定位置。此外，它還利用持久性機制來確保其在系統中的持續存在和功能。

花時間增強設備和數據的防禦能力，抵禦勒索軟體威脅

加強設備和資料防禦勒索軟體威脅涉及實施預防措施和主動策略的組合。使用者可以透過以下方式增強防禦：

• 保持軟體更新：定期更新作業系統、應用程式和安全軟體。軟體更新通常包括修復勒索軟體利用的漏洞的修補程式。
• 安裝可靠的安全軟體：使用信譽良好的反惡意軟體軟體，可以針對勒索軟體和其他威脅提供即時保護。啟用自動更新和定期掃描。
• 採用強密碼和多重驗證 (MFA) ：使用複雜的密碼並盡可能啟用 MFA，以新增額外的安全層。避免對多個帳戶使用配對密碼。
• 教育使用者：訓練使用者如何辨識網路釣魚電子郵件、可疑連結和惡意附件。教他們驗證電子郵件的合法性，並在下載文件或點擊連結時小心謹慎。
• 定期備份資料：建立重要文件的定期備份並將其安全地離線保存或保存在雲端。確保備份自動化、加密並定期測試，以驗證資料完整性和復原能力。
• 限制使用者權限：應用最小權限原則，限制使用者僅存取其工作角色所需的內容。這透過限制勒索軟體在網路上傳播和加密檔案的能力來幫助減輕勒索軟體的影響。
• 啟用防火牆保護：啟動並定期更新裝置和網路上的防火牆，以過濾傳入和傳出流量並阻止潛在有害的連線。
• 監控網路活動：實施入侵偵測和防禦系統，以觀察網路流量是否有可疑行為和潛在勒索軟體活動的跡象。

透過將這些主動措施納入網路安全策略，使用者可以顯著增強對勒索軟體威脅的防禦能力，並最大限度地降低成為攻擊受害者的風險。

HWABAG 勒索軟體的主要勒索訊息是：

'HWABAG!
All your files have been encrypted due you being pure NAS coal. If you want to restore them, post a thread on this website: hxxps://soyjak.party/raid/
Write this ID in the subject of your post: 9ECFA84E
In case of no answer in 24 hours contact us at this e-mail: cobson@hwabag.us
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by HWABAG Ransomware contains the following message:

all your data has been turned into coal

You want to return?

post thread on this website hxxps://soyjak.party/raid/

If no answer in 24 hours write here: cobson@hwabag.us'