Рансъмуер HuiVJope
Сред най-новите допълнения в сценария за рансъмуер е HuiVJope Ransomware, заплашителен вариант, принадлежащ към прословутата фамилия Phobos Ransomware . HuiVJope се отличава с добавянето на уникално файлово разширение към своите шифровани файлове на жертвите, обикновено във формат „.HuiVJope“, последвано от променлив номер. Това персонализиране добавя слой сложност към усилията за възстановяване на файлове, тъй като жертвите остават с безпогрешен маркер за компрометиране.
Съдържание
Бележката за откуп и каналите за комуникация
След успешно криптиране на файлове HuiVJope доставя бележка за откуп, наречена „info.txt“ или „info.hta“, очертаваща условията за извличане на данни и плащане. Нападателите предоставят информация за контакт за комуникация, като използват дескриптора на Telegram „@GROUNDINGCONDUCTOR“ и имейл адреса „huivjope@tutanota.com“. Тези канали служат като основно средство за жертвите да преговарят за откупа и евентуално да си възвърнат достъпа до своите компрометирани данни.
HuiVJope използва многостранен подход за осакатяване на защитата на целевата система. Рансъмуерът е предназначен да деактивира защитната стена, критичен компонент от инфраструктурата за сигурност на системата. Чрез неутрализиране на този първичен защитен механизъм, HuiVJope осигурява по-плавно проникване и процес на изпълнение.
Елиминирането на пътищата за възстановяване на данни
За да увеличи максимално въздействието на своята атака, HuiVJope предприема стратегически мерки за елиминиране на потенциални пътища за възстановяване на данни. Рансъмуерът е насочен към Shadow Volume Copies, функция, която позволява на потребителите да възстановяват предишни версии на файлове. Чрез премахването на тези копия в сянка, HuiVJope допълнително затяга контрола си върху данните на жертвата, оставяйки им ограничени възможности за извличане.
Използване на уязвимости в протокола за отдалечен работен плот (RDP)
HuiVJope е особено умел в използването на уязвимости в услугите на протокола за отдалечен работен плот (RDP), стандартен метод за достъп и управление на отдалечени системи. Рансъмуерът получава неоторизиран достъп чрез използване на груба сила и речникови атаки срещу лошо управлявани идентификационни данни на акаунт, свързани с RDP услуги. Този метод позволява на HuiVJope да проникне в системи и да започне своя разрушителен процес на криптиране.
Механизми за устойчивост и събиране на данни
Освен незабавното си въздействие, HuiVJope притежава механизми за персистиране в заразената система, осигурявайки трайно присъствие. Тази устойчивост позволява на рансъмуера да поддържа контрол над компрометираната система и потенциално да стартира последващи атаки. Освен това HuiVJope не е фокусиран единствено върху криптирането; той също така показва възможности за събиране на данни. Рансъмуерът има способността да събира данни за местоположение, което потенциално позволява на нападателите да се насочат към определени географски региони. По-специално, той може да изключи предварително определени местоположения от събирането на данни, което предполага ниво на сложност в неговата стратегия за насочване.
Появата на рансъмуера HuiVJope подчертава развиващия се и усъвършенстван характер на киберзаплахите. Организациите и отделните лица трябва да дадат приоритет на стабилните практики за киберсигурност, включително редовни софтуерни актуализации, политики за силни пароли и информация за служителите относно тактиките за фишинг и социално инженерство. Освен това поддържането на офлайн резервни копия остава решаваща защита срещу нарастващата заплаха от атаки на ransomware. Тъй като пейзажът на киберсигурността продължава да се развива, проактивният и многопластов защитен подход е от съществено значение за смекчаване на рисковете, породени от заплашителни субекти като HuiVJope.
Ето съобщението за откуп HuiVJope Ransomware:
'!! ВНИМАНИЕ !!!
Мрежата ви е хакната и файловете са криптирани.
Включително криптираните данни ние изтеглихме и друга поверителна информация: данни на вашите служители, клиенти, партньори, както и счетоводна и друга вътрешна документация на вашата компания.
Относно данните
Всички данни се съхраняват, докато не платите.
След плащане ще ви предоставим програмите за дешифриране и ще изтрием вашите данни
Ние не искаме да направим нещо лошо на вашата компания, това е просто бизнес (Нашата репутация е нашите пари!)
Ако откажете да преговаряте с нас (по някаква причина), всички ваши данни ще бъдат обявени за продажба.
С какво ще се сблъскате, ако вашите данни попаднат на черния пазар:
Личната информация на вашите служители и клиенти може да се използва за получаване на заем или покупки в онлайн магазини.
Може да бъдете съдени от клиенти на вашата компания за изтичане на поверителна информация.
След като други хакери получат лични данни за вашите служители, социалното инженерство ще бъде приложено към вашата компания и следващите атаки само ще се засилят.
Банкови данни и паспорти могат да се използват за създаване на банкови сметки и онлайн портфейли, чрез които ще се перат престъпни пари.
Завинаги ще загубите репутацията си.
Ще бъдете обект на огромни глоби от правителството.
Можете да научите повече за отговорността при загуба на данни тук: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationили тук hxxps://gdpr-info.eu
Съдилищата, глобите и невъзможността да използвате важни файлове ще ви доведат до огромни загуби. Последствията от това ще бъдат необратими за вас.
Свързването с полицията няма да ви спаси от тези последствия, а загубените данни само ще влошат положението ви.
Как да се свържете с нас
Пишете ни на пощата: HuiVJope@tutanota.com
Можете да се свържете с нашия онлайн оператор в telegram: @GROUNDINGCONDUCTOR (ВНИМАВАЙТЕ ЗА ФАЛШИВИ)
Изтеглете (Session) messenger hxxps://getsession.org в messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Напишете този идентификатор в заглавието на вашето съобщение 9ECFA84E-3511
АКО СЕ СВЪРЖЕТЕ С НАС ПРЕЗ ПЪРВИТЕ 6 часа и ние приключим сделката си след 24 часа, ЦЕНАТА ЩЕ БЪДЕ САМО 30%.
(времето е пари и за двама ни, ако се погрижите за нашето време, ние ще направим същото, ние ще се погрижим за цената и процесът на дешифриране ще бъде извършен МНОГО БЪРЗО)
ВСИЧКИ ИЗТЕГЛЕНИ ДАННИ ЩЕ БЪДАТ ИЗТРИТИ след плащане.
Какво не трябва да се прави и препоръка
Можете да излезете от тази ситуация с минимални загуби (Нашата репутация е нашите пари!) !!! За да направите това, трябва стриктно да спазвате следните правила:
НЕ модифицирайте, НЕ преименувайте, НЕ копирайте, НЕ премествайте никакви файлове. Такива действия могат да ги ПОВРЕДЯТ и дешифрирането ще бъде невъзможно.
НЕ използвайте софтуер за декриптиране на трети страни или публичен софтуер, той също може да ПОВРЕДИ файлове.
НЕ изключвайте и не рестартирайте системата, това може да ПОВРЕДИ файловете.
НЕ наемайте трети страни преговарящи (възстановяване/полиция и т.н.) Трябва да се свържете с нас възможно най-скоро и да започнете преговори.
Можете да ни изпратите 1-2 малки файла без стойност за тест, ние ще ги дешифрираме и ще ви ги изпратим обратно.
След плащането ни трябват не повече от 2 часа, за да дешифрираме всичките ви данни. Ние ще ви подкрепяме, докато бъде извършено пълното дешифриране! ! ! (Нашата репутация са нашите пари!)'
