Hairysquid Ransomware
Το ransomware γνωστό ως Hairysquid λειτουργεί κρυπτογραφώντας αρχεία και προσθέτοντας την επέκταση «.Hairysquid» στο τέλος των ονομάτων αρχείων των κρυπτογραφημένων αρχείων. Εκτός από την κρυπτογράφηση αρχείων, το κακόβουλο λογισμικό δημιουργεί επίσης μια σημείωση λύτρων που αποθηκεύεται στις συσκευές που έχουν παραβιαστεί ως αρχείο με το όνομα "READ_ME_DECRYPTION_HAIRYSQUID.txt". Το Hairysquid είναι μια νέα παραλλαγή του ransomware Mimic.
Πίνακας περιεχομένων
Το Hairysquid Ransomware απενεργοποιεί σημαντικές λειτουργίες του υπολογιστή
Το Hairysquid Ransomware είναι ικανό να κάνει σημαντικές αλλαγές στο σύστημα ενός υπολογιστή. Ένας από τους κύριους τρόπους με τους οποίους γίνεται αυτό είναι αλλάζοντας την πολιτική ομάδας των Windows, η οποία είναι υπεύθυνη για τον καθορισμό των κανόνων και των περιορισμών που διέπουν τη συμπεριφορά ενός υπολογιστή. Συγκεκριμένα, το Hairysquid απενεργοποιεί την προστασία που προσφέρει το Windows Defender, μια δυνατότητα ασφαλείας που είναι ζωτικής σημασίας για την αποτελεσματική λειτουργία του ransomware. Αυτό σημαίνει ότι όταν δεν υπάρχει εγκατεστημένο πρόγραμμα προστασίας από κακόβουλο λογισμικό στον υπολογιστή, το Windows Defender είναι συνήθως η πρώτη γραμμή άμυνας ενάντια σε κακόβουλο λογισμικό και με την απενεργοποίησή του, το Hairysquid κερδίζει έδαφος στο σύστημα.
Επιπλέον, το Hairysquid διακόπτει όλες τις ενεργές απομακρυσμένες συνδέσεις, με αποτέλεσμα την απώλεια του ελέγχου για τους συνδεδεμένους χρήστες. Αυτό σημαίνει ότι οποιοσδήποτε ήταν απομακρυσμένος συνδεδεμένος με τον επηρεαζόμενο υπολογιστή δεν θα έχει πλέον πρόσβαση σε αυτόν. Το Hairysquid τερματίζει και απενεργοποιεί επίσης το TaskManager, ένα ενσωματωμένο βοηθητικό πρόγραμμα των Windows που επιτρέπει στους χρήστες να προβάλλουν και να διαχειρίζονται τα προγράμματα και τις διεργασίες που εκτελούνται στον υπολογιστή τους. Το ransomware τροποποιεί επίσης το κλειδί μητρώου, το οποίο είναι υπεύθυνο για τον έλεγχο της συμπεριφοράς διαφόρων προγραμμάτων και υπηρεσιών, για να αποτρέψει πλήρως την ενεργοποίηση του TaskManager.
Επιπλέον, το Hairysquid αποτρέπει τις λειτουργίες αποσύνδεσης, επανεκκίνησης και τερματισμού λειτουργίας στις συσκευές που έχουν παραβιαστεί. Αυτό σημαίνει ότι οι χρήστες δεν μπορούν να αποσυνδεθούν από τους λογαριασμούς τους, να επανεκκινήσουν ή να κλείσουν τους υπολογιστές τους, γεγονός που καθιστά πιο δύσκολη τη διακοπή των δραστηριοτήτων του ransomware. Όλες αυτές οι τροποποιήσεις καθιστούν το Hairysquid μια ιδιαίτερα ύπουλη απειλή που μπορεί να είναι δύσκολο να αφαιρεθεί μόλις κατακτήσει ένα σύστημα.
Οι επιτιθέμενοι πίσω από το Hairysquid Ransomware αφήνουν μια μεγάλη σημείωση για λύτρα
Όταν ένας υπολογιστής έχει μολυνθεί με το Hairysquid ransomware, ένα σημείωμα λύτρων αφήνεται πίσω για να ενημερώσει το θύμα για την κατάσταση. Το σημείωμα λύτρων αναφέρει ότι όλα τα αρχεία στον μολυσμένο υπολογιστή έχουν κρυπτογραφηθεί, πράγμα που σημαίνει ότι δεν είναι πλέον προσβάσιμα στο θύμα χωρίς το κλειδί αποκρυπτογράφησης. Στη συνέχεια, το σημείωμα ενημερώνει τα θύματα ότι πρέπει να πληρώσουν τους κυβερνοεγκληματίες για την αποκρυπτογράφηση των αρχείων τους. Επιπλέον, δίνεται στα θύματα η ευκαιρία να ελέγξουν εάν οι εισβολείς μπορούν να αποκρυπτογραφήσουν τα αρχεία τους πριν πληρώσουν.
Για να διασφαλιστεί ότι η διαδικασία αποκρυπτογράφησης θα λειτουργήσει, το σημείωμα λύτρων καθοδηγεί τα θύματα να στείλουν το συγκεκριμένο αναγνωριστικό που τους έχει εκχωρηθεί από το κακόβουλο λογισμικό μαζί με έως και τρία αρχεία για δοκιμαστική αποκρυπτογράφηση. Αυτή η διαδικασία επιτρέπει στους εισβολείς να αποδείξουν ότι έχουν τη δυνατότητα να αποκρυπτογραφήσουν τα αρχεία και μπορούν να τους εμπιστευτούν ότι θα παραδώσουν το κλειδί αποκρυπτογράφησης που υποσχέθηκαν.
Το σημείωμα λύτρων παρέχει πολλαπλές επιλογές επικοινωνίας, όπως TOX messenger, ICQ messenger, Skype και email. Αυτή η ποικιλία επιλογών επικοινωνίας επιτρέπει στους επιτιθέμενους να επικοινωνούν με το θύμα με τρόπο που τους βολεύει.
Το σημείωμα λύτρων ενημερώνει επίσης τα θύματα ότι μετά τη δοκιμαστική αποκρυπτογράφηση, θα λάβουν μια διεύθυνση κρυπτογραφικού πορτοφολιού Bitcoin στην οποία θα πρέπει να μεταφερθούν τα λύτρα. Το Bitcoin είναι ένα κρυπτονόμισμα που χρησιμοποιείται συνήθως σε επιθέσεις ransomware επειδή είναι δύσκολο να εντοπιστεί. Μόλις πραγματοποιηθεί η πληρωμή, οι φορείς απειλών θα στείλουν το πρόγραμμα αποκρυπτογράφησης και οδηγίες στο θύμα, επιτρέποντάς του να ανακτήσει την πρόσβαση στα κρυπτογραφημένα αρχεία του. Ωστόσο, δεν υπάρχει καμία εγγύηση ότι οι επιτιθέμενοι θα τηρήσουν τις υποσχέσεις τους και θα βοηθήσουν πραγματικά τα θύματα να επαναφέρουν τα κλειδωμένα δεδομένα αφού τα έχουν ήδη εκβιάσει για χρήματα.
Το πλήρες κείμενο του σημειώματος λύτρων του Hairysquid Ransomware είναι:
Το ransomware γνωστό ως Hairysquid λειτουργεί κρυπτογραφώντας αρχεία και προσθέτοντας την επέκταση «.Hairysquid» στο τέλος των ονομάτων αρχείων των κρυπτογραφημένων αρχείων. Εκτός από την κρυπτογράφηση αρχείων, το κακόβουλο λογισμικό δημιουργεί επίσης μια σημείωση λύτρων που αποθηκεύεται στις συσκευές που έχουν παραβιαστεί ως αρχείο με το όνομα "READ_ME_DECRYPTION_HAIRYSQUID.txt". Το Hairysquid είναι μια νέα παραλλαγή του nsomware Mimic R.
Το Hairysquid Ransomware απενεργοποιεί τις βασικές λειτουργίες του υπολογιστή
Το Hairysquid Ransomware είναι ικανό να κάνει σημαντικές αλλαγές στο σύστημα ενός υπολογιστή. Ένας από τους κύριους τρόπους με τους οποίους γίνεται αυτό είναι αλλάζοντας την πολιτική ομάδας των Windows, η οποία είναι υπεύθυνη για τον καθορισμό των κανόνων και των περιορισμών που διέπουν τη συμπεριφορά ενός υπολογιστή. Συγκεκριμένα, το Hairysquid απενεργοποιεί την προστασία που προσφέρει το Windows Defender, μια δυνατότητα ασφαλείας που είναι ζωτικής σημασίας για την αποτελεσματική λειτουργία του ransomware. Αυτό σημαίνει ότι όταν δεν υπάρχει εγκατεστημένο πρόγραμμα προστασίας από κακόβουλο λογισμικό στον υπολογιστή, το Windows Defender είναι συνήθως η πρώτη γραμμή άμυνας ενάντια σε κακόβουλο λογισμικό και με την απενεργοποίησή του, το Hairysquid κερδίζει έδαφος στο σύστημα.
Επιπλέον, το Hairysquid διακόπτει όλες τις ενεργές απομακρυσμένες συνδέσεις, με αποτέλεσμα την απώλεια του ελέγχου για τους συνδεδεμένους χρήστες. Αυτό σημαίνει ότι οποιοσδήποτε ήταν απομακρυσμένος συνδεδεμένος με τον επηρεαζόμενο υπολογιστή δεν θα έχει πλέον πρόσβαση σε αυτόν. Το Hairysquid τερματίζει και απενεργοποιεί επίσης το TaskManager, ένα ενσωματωμένο βοηθητικό πρόγραμμα των Windows που επιτρέπει στους χρήστες να προβάλλουν και να διαχειρίζονται τα προγράμματα και τις διεργασίες που εκτελούνται στον υπολογιστή τους. Το ransomware τροποποιεί επίσης το κλειδί μητρώου, το οποίο είναι υπεύθυνο για τον έλεγχο της συμπεριφοράς διαφόρων προγραμμάτων και υπηρεσιών, για να αποτρέψει πλήρως την ενεργοποίηση του TaskManager.
Επιπλέον, το Hairysquid αποτρέπει τις λειτουργίες αποσύνδεσης, επανεκκίνησης και τερματισμού λειτουργίας στις συσκευές που έχουν παραβιαστεί. Αυτό σημαίνει ότι οι χρήστες δεν μπορούν να αποσυνδεθούν από τους λογαριασμούς τους, να επανεκκινήσουν ή να κλείσουν τους υπολογιστές τους, γεγονός που καθιστά πιο δύσκολη τη διακοπή των δραστηριοτήτων του ransomware. Όλες αυτές οι τροποποιήσεις καθιστούν το Hairysquid μια ιδιαίτερα ύπουλη απειλή που μπορεί να είναι δύσκολο να αφαιρεθεί μόλις κατακτήσει ένα σύστημα.
Οι επιτιθέμενοι πίσω από το Hairysquid Ransomware αφήνουν μια μεγάλη σημείωση για λύτρα
Όταν ένας υπολογιστής έχει μολυνθεί με το Hairysquid ransomware, ένα σημείωμα λύτρων αφήνεται πίσω για να ενημερώσει το θύμα για την κατάσταση. Το σημείωμα λύτρων αναφέρει ότι όλα τα αρχεία στον μολυσμένο υπολογιστή έχουν κρυπτογραφηθεί, πράγμα που σημαίνει ότι δεν είναι πλέον προσβάσιμα στο θύμα χωρίς το κλειδί αποκρυπτογράφησης. Στη συνέχεια, το σημείωμα ενημερώνει τα θύματα ότι πρέπει να πληρώσουν τους κυβερνοεγκληματίες για την αποκρυπτογράφηση των αρχείων τους. Επιπλέον, δίνεται στα θύματα η ευκαιρία να ελέγξουν εάν οι εισβολείς μπορούν να αποκρυπτογραφήσουν τα αρχεία τους πριν πληρώσουν.
Για να διασφαλιστεί ότι η διαδικασία αποκρυπτογράφησης θα λειτουργήσει, το σημείωμα λύτρων καθοδηγεί τα θύματα να στείλουν το συγκεκριμένο αναγνωριστικό που τους έχει εκχωρηθεί από το κακόβουλο λογισμικό μαζί με έως και τρία αρχεία για δοκιμαστική αποκρυπτογράφηση. Αυτή η διαδικασία επιτρέπει στους εισβολείς να αποδείξουν ότι έχουν τη δυνατότητα να αποκρυπτογραφήσουν τα αρχεία και μπορούν να τους εμπιστευτούν ότι θα παραδώσουν το κλειδί αποκρυπτογράφησης που υποσχέθηκαν.
Το σημείωμα λύτρων παρέχει πολλαπλές επιλογές επικοινωνίας, όπως TOX messenger, ICQ messenger, Skype και email. Αυτή η ποικιλία επιλογών επικοινωνίας επιτρέπει στους επιτιθέμενους να επικοινωνούν με το θύμα με τρόπο που τους βολεύει.
Το σημείωμα λύτρων ενημερώνει επίσης τα θύματα ότι μετά τη δοκιμαστική αποκρυπτογράφηση, θα λάβουν μια διεύθυνση κρυπτογραφικού πορτοφολιού Bitcoin στην οποία θα πρέπει να μεταφερθούν τα λύτρα. Το Bitcoin είναι ένα κρυπτονόμισμα που χρησιμοποιείται συνήθως σε επιθέσεις ransomware επειδή είναι δύσκολο να εντοπιστεί. Μόλις πραγματοποιηθεί η πληρωμή, οι φορείς απειλών θα στείλουν το πρόγραμμα αποκρυπτογράφησης και οδηγίες στο θύμα, επιτρέποντάς του να ανακτήσει την πρόσβαση στα κρυπτογραφημένα αρχεία του. Ωστόσο, δεν υπάρχει καμία εγγύηση ότι οι επιτιθέμενοι θα τηρήσουν τις υποσχέσεις τους και θα βοηθήσουν πραγματικά τα θύματα να επαναφέρουν τα κλειδωμένα δεδομένα αφού τα έχουν ήδη εκβιάσει για χρήματα.
Το πλήρες κείμενο του σημειώματος λύτρων του Hairysquid Ransomware είναι:
'Γεια!
Όλα τα αρχεία σας έχουν κρυπτογραφηθεί με τον ιό μας.
Το μοναδικό σας αναγνωριστικό: -Μπορείτε να αγοράσετε πλήρη αποκρυπτογράφηση των αρχείων σας
Αλλά προτού πληρώσετε, μπορείτε να βεβαιωθείτε ότι μπορούμε πραγματικά να αποκρυπτογραφήσουμε οποιοδήποτε από τα αρχεία σας.
Το κλειδί κρυπτογράφησης και το αναγνωριστικό είναι μοναδικά για τον υπολογιστή σας, επομένως είναι σίγουρο ότι θα μπορείτε να επιστρέψετε τα αρχεία σας.Για να γινει αυτο:
1) Στείλτε το μοναδικό σας αναγνωριστικό - και έως 3 αρχεία για δοκιμαστική αποκρυπτογράφηση
ΟΙ ΕΠΑΦΕΣ ΜΑΣ
1.1) TOX messenger (γρήγορος και ανώνυμος)
hxxps://tox.chat/download.html
Εγκαταστήστε το qtox
πατήστε τραγουδήστε επάνω
δημιουργήστε το δικό σας όνομα
Πατήστε συν
Βάλτε εκεί το αναγνωριστικό μου
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Και προσθέστε μου/γράψτε μήνυμα
1.2) ICQ Messenger
Ζωντανή συνομιλία ICQ που λειτουργεί 24/7 - @Hairysquid
Εγκαταστήστε το λογισμικό ICQ στον υπολογιστή σας εδώ hxxps://icq.com/windows/ ή στο smartphone σας αναζητήστε "ICQ" στο Appstore / Αγορά Google
Γράψτε στο ICQ μας @Hairysquid hxxps://icq.im/Hairysquid
1.3) Skype
Αποκρυπτογράφηση Hairysquid
1.4) Αλληλογραφία (γράψτε μόνο σε κρίσιμες περιπτώσεις π.χ. τα email σας ενδέχεται να μην παραδοθούν ή να ληφθούν σε ανεπιθύμητη αλληλογραφία)Hairysquid@onionmail.org
Στη γραμμή θέματος, γράψτε το αναγνωριστικό αποκρυπτογράφησης: -
Μετά την αποκρυπτογράφηση, θα σας στείλουμε τα αποκρυπτογραφημένα αρχεία και ένα μοναδικό πορτοφόλι bitcoin για πληρωμή.
Μετά την πληρωμή λύτρων για Bitcoin, θα σας στείλουμε ένα πρόγραμμα αποκρυπτογράφησης και οδηγίες. Εάν μπορούμε να αποκρυπτογραφήσουμε τα αρχεία σας, δεν έχουμε κανένα λόγο να σας εξαπατήσουμε μετά την πληρωμή.FAQ:
Μπορώ να έχω έκπτωση;
Όχι. Το ποσό των λύτρων υπολογίζεται με βάση τον αριθμό των κρυπτογραφημένων αρχείων γραφείου και δεν παρέχονται εκπτώσεις. Όλα αυτά τα μηνύματα θα αγνοηθούν αυτόματα. Εάν πραγματικά θέλετε μόνο μερικά από τα αρχεία, κάντε τα συμπιεσμένα και ανεβάστε τα κάπου. Θα τα αποκωδικοποιήσουμε δωρεάν ως απόδειξη.
Τι είναι το Bitcoin;
διαβάστε το bitcoin.org
Πού να αγοράσω bitcoin;
hxxps://www.alfa.cash/buy-crypto-with-credit-card (γρηγορότερος τρόπος)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ή χρησιμοποιήστε το google.com για να βρείτε πληροφορίες από πού να το αγοράσετε
Πού είναι η εγγύηση ότι θα λάβω πίσω τα αρχεία μου;
Το ίδιο το γεγονός ότι μπορούμε να αποκρυπτογραφήσουμε τα τυχαία αρχεία σας αποτελεί εγγύηση. Δεν έχει νόημα να σας εξαπατήσουμε.
Πόσο γρήγορα θα λάβω το κλειδί και το πρόγραμμα αποκρυπτογράφησης μετά την πληρωμή;
Κατά κανόνα, για 15 λεπτά
Πώς λειτουργεί το πρόγραμμα αποκρυπτογράφησης;
Είναι απλό. Πρέπει να εκτελέσετε το λογισμικό μας. Το πρόγραμμα θα αποκρυπτογραφήσει αυτόματα όλα τα κρυπτογραφημένα αρχεία στον σκληρό σας δίσκο»
