Hitobito Ransomware
محققان امنیت سایبری تهدید باج افزار جدیدی به نام Hitobito را شناسایی کرده اند. این نرم افزار تهدید کننده فایل ها را روی دستگاه های آلوده رمزگذاری می کند و آنها را برای کاربر غیر قابل دسترس می کند. متعاقباً، مهاجمان در ازای رمزگشایی فرضی دادههای آسیبدیده، از قربانیان درخواست پرداخت میکنند. پس از فعال سازی، Hitobito پسوند '.hitobito' را به نام فایل های اصلی فایل های رمزگذاری شده اضافه می کند. به عنوان مثال، فایلی با نام '1.png' به صورت '1.jpg.hitobito' و '2.pdf' به عنوان '2.pdf.hitobito' و غیره برای همه فایل های قفل شده ظاهر می شود.
پس از فرآیند رمزگذاری، Hitobito یک یادداشت باج را در یک پنجره بازشو نمایش می دهد و دیگری را در یک فایل متنی با عنوان "KageNoHitobito_ReadMe.txt" ایجاد می کند. هر دو پیام حاوی محتوای یکسانی هستند. به طور قابل توجهی، مشخص شده است که نسخه کشف شده باج افزار Hitobito بدون نیاز به درگیری قربانیان با مهاجمان قابل رمزگشایی است.
Hitobito سعی می کند با گروگان گرفتن داده ها از قربانیان خود اخاذی کند
یادداشتهای باجگیری هیتوبیتو به قربانیان اطلاع میدهد که دادههایشان رمزگذاری شده است، و آنها را وادار میکند تا از طریق چت در وبسایت شبکه Tor با مهاجمان درگیر شوند تا در مورد قیمت رمزگشایی مذاکره کنند. با این حال، برای کسانی که تحت تأثیر Hitobito قرار گرفته اند، پوشش نقره ای وجود دارد - این باج افزار قابل رمزگشایی است. رمز یا کلید رمزگشایی «Password123» (بدون علامت نقل قول) است.
با این حال، در حالی که Hitobito ممکن است در حال حاضر قابل رمزگشایی باشد، تکرارهای بعدی این بدافزار ممکن است با کلیدهای بازیابی متفاوتی همراه باشد. باجافزار معمولاً از الگوریتمهای رمزنگاری قوی و کلیدهای منحصربهفرد استفاده میکند و رمزگشایی بدون دخالت مهاجمان را امری نادر میسازد.
علاوه بر این، قربانیان ممکن است همیشه کلیدهای بازیابی یا نرم افزار وعده داده شده را حتی پس از برآورده کردن باج گیری دریافت نکنند. این امر بر خطر مرتبط با پرداخت باج تاکید می کند، زیرا نه تنها رمزگشایی فایل را تضمین نمی کند، بلکه از فعالیت های مجرمانه نیز پشتیبانی می کند.
برای جلوگیری از رمزگذاری بیشتر داده ها توسط باج افزارهایی مانند Hitobito، حذف بدافزار از سیستم عامل ضروری است. با این حال، درک این نکته ضروری است که حذف باج افزار فایل هایی را که قبلاً در معرض خطر قرار گرفته اند بازیابی نمی کند.
اقدامات امنیتی برای کمک به محافظت بهتر از داده ها و دستگاه های خود در برابر تهدیدات باج افزار
پیاده سازی یک رویکرد امنیتی چند لایه برای محافظت بهتر از داده ها و دستگاه ها در برابر تهدیدات باج افزار ضروری است. در اینجا برخی از اقدامات امنیتی کلیدی وجود دارد:
- به روز رسانی مداوم نرم افزار و مدیریت وصله : اطمینان حاصل کنید که همه سیستم عامل ها، برنامه های نرم افزاری و برنامه های امنیتی به طور سیستماتیک با جدیدترین وصله های امنیتی به روز می شوند. نرم افزارهای قدیمی که دارای آسیب پذیری هستند می توانند توسط مهاجمان باج افزار مورد سوء استفاده قرار گیرند.
- استفاده از نرم افزار ضد بدافزار : نرم افزار ضد بدافزار معتبر را روی همه دستگاه ها نصب کنید و آنها را به روز نگه دارید. این برنامهها میتوانند به شناسایی و جلوگیری از عفونتهای باجافزاری قبل از ایجاد آسیب کمک کنند.
- حفاظت از دیوار آتش : فایروال ها را در تمام دستگاه ها و شبکه ها فعال کنید تا ترافیک ورودی و خروجی را نظارت و کنترل کنند. فایروال ها می توانند به جلوگیری از دسترسی باج افزارها به دستگاه ها و انتشار در سراسر شبکه ها کمک کنند.
- آموزش و آگاهی کارکنان : به کارکنان در مورد خطرات باج افزار آموزش دهید و به آنها آموزش دهید که چگونه ایمیل ها، پیوندها و پیوست های مشکوک را شناسایی کنند. برای ترویج شیوه های محاسباتی ایمن، آموزش های آگاهی امنیتی را به طور منظم انجام دهید.
- کنترلهای دسترسی و حداقل امتیاز : امتیازات و حقوق دسترسی کاربر را فقط به مواردی که برای نقشهای آنها ضروری است محدود کنید. با محدود کردن دسترسی به دادههای حساس و سیستمهای حیاتی، اصل حداقل امتیاز را برای به حداقل رساندن تأثیر حملات باجافزار تقویت کنید.
- پشتیبانگیری از دادهها : به طور مرتب از دادهها در راهحلهای پشتیبانگیری آفلاین یا مبتنی بر ابر پشتیبانگیری کنید. اطمینان حاصل کنید که نسخههای پشتیبان رمزگذاری شده، به طور منظم از نظر قابلیت اطمینان آزمایش میشوند و به طور ایمن ذخیره میشوند.
- تقسیمبندی شبکه : شبکهها را برای جدا کردن سیستمهای حیاتی و دادههای خصوصی از سایر بخشهای شبکه تقسیم بندی کنید. این می تواند به جلوگیری از گسترش باج افزار و محدود کردن آسیب ناشی از عفونت کمک کند.
با اجرای این اقدامات امنیتی، سازمان ها می توانند بهتر از داده ها و دستگاه های خود در برابر تهدیدات باج افزار محافظت کنند و خطر قربانی شدن در این حملات مخرب را کاهش دهند.
درخواست باج تحویل قربانیان باج افزار Hitobito به شرح زیر است:
'Ooops, your files have been encrypted by Kage No Hitobito Group!
All your important files and documents have been encrypted by us.
Step 1:
On your current desktop, open up your default browser.
Search for Tor Browser or visit hxxps://www.torproject.org/
If you cannot access Tor then use a VPN to get it instead.
Then download to the Tor Browser and follow Step 2.Step 2:
Navigate to the group chat and select 'Hitobito' from the username list.
Message with your situation and the price you are willing to pay for your files.
hxxp://notbumpz34bgbz4yfdigxvd6vzwtxc3zpt5imukgl6bvip2nikdmdaad.onion/chat/
If you do not know how to private messasge, ask the chat, they are usually friendly.
Though we advise you not to click links or follow any discussion they talk of.Step 3: This is the important part, the one where you restore your computer quickly.
If you negotiate correctly and pay our ransom, we will send you a decryptor.
Reminder that 'Hitobito' can be impersonated or be one of several group members.'