Hitobito Ransomware

محققان امنیت سایبری تهدید باج افزار جدیدی به نام Hitobito را شناسایی کرده اند. این نرم افزار تهدید کننده فایل ها را روی دستگاه های آلوده رمزگذاری می کند و آنها را برای کاربر غیر قابل دسترس می کند. متعاقباً، مهاجمان در ازای رمزگشایی فرضی داده‌های آسیب‌دیده، از قربانیان درخواست پرداخت می‌کنند. پس از فعال سازی، Hitobito پسوند '.hitobito' را به نام فایل های اصلی فایل های رمزگذاری شده اضافه می کند. به عنوان مثال، فایلی با نام '1.png' به صورت '1.jpg.hitobito' و '2.pdf' به عنوان '2.pdf.hitobito' و غیره برای همه فایل های قفل شده ظاهر می شود.

پس از فرآیند رمزگذاری، Hitobito یک یادداشت باج را در یک پنجره بازشو نمایش می دهد و دیگری را در یک فایل متنی با عنوان "KageNoHitobito_ReadMe.txt" ایجاد می کند. هر دو پیام حاوی محتوای یکسانی هستند. به طور قابل توجهی، مشخص شده است که نسخه کشف شده باج افزار Hitobito بدون نیاز به درگیری قربانیان با مهاجمان قابل رمزگشایی است.

Hitobito سعی می کند با گروگان گرفتن داده ها از قربانیان خود اخاذی کند

یادداشت‌های باج‌گیری هیتوبیتو به قربانیان اطلاع می‌دهد که داده‌هایشان رمزگذاری شده است، و آنها را وادار می‌کند تا از طریق چت در وب‌سایت شبکه Tor با مهاجمان درگیر شوند تا در مورد قیمت رمزگشایی مذاکره کنند. با این حال، برای کسانی که تحت تأثیر Hitobito قرار گرفته اند، پوشش نقره ای وجود دارد - این باج افزار قابل رمزگشایی است. رمز یا کلید رمزگشایی «Password123» (بدون علامت نقل قول) است.

با این حال، در حالی که Hitobito ممکن است در حال حاضر قابل رمزگشایی باشد، تکرارهای بعدی این بدافزار ممکن است با کلیدهای بازیابی متفاوتی همراه باشد. باج‌افزار معمولاً از الگوریتم‌های رمزنگاری قوی و کلیدهای منحصربه‌فرد استفاده می‌کند و رمزگشایی بدون دخالت مهاجمان را امری نادر می‌سازد.

علاوه بر این، قربانیان ممکن است همیشه کلیدهای بازیابی یا نرم افزار وعده داده شده را حتی پس از برآورده کردن باج گیری دریافت نکنند. این امر بر خطر مرتبط با پرداخت باج تاکید می کند، زیرا نه تنها رمزگشایی فایل را تضمین نمی کند، بلکه از فعالیت های مجرمانه نیز پشتیبانی می کند.

برای جلوگیری از رمزگذاری بیشتر داده ها توسط باج افزارهایی مانند Hitobito، حذف بدافزار از سیستم عامل ضروری است. با این حال، درک این نکته ضروری است که حذف باج افزار فایل هایی را که قبلاً در معرض خطر قرار گرفته اند بازیابی نمی کند.

اقدامات امنیتی برای کمک به محافظت بهتر از داده ها و دستگاه های خود در برابر تهدیدات باج افزار

پیاده سازی یک رویکرد امنیتی چند لایه برای محافظت بهتر از داده ها و دستگاه ها در برابر تهدیدات باج افزار ضروری است. در اینجا برخی از اقدامات امنیتی کلیدی وجود دارد:

• به روز رسانی مداوم نرم افزار و مدیریت وصله : اطمینان حاصل کنید که همه سیستم عامل ها، برنامه های نرم افزاری و برنامه های امنیتی به طور سیستماتیک با جدیدترین وصله های امنیتی به روز می شوند. نرم افزارهای قدیمی که دارای آسیب پذیری هستند می توانند توسط مهاجمان باج افزار مورد سوء استفاده قرار گیرند.
• استفاده از نرم افزار ضد بدافزار : نرم افزار ضد بدافزار معتبر را روی همه دستگاه ها نصب کنید و آنها را به روز نگه دارید. این برنامه‌ها می‌توانند به شناسایی و جلوگیری از عفونت‌های باج‌افزاری قبل از ایجاد آسیب کمک کنند.

• حفاظت از دیوار آتش : فایروال ها را در تمام دستگاه ها و شبکه ها فعال کنید تا ترافیک ورودی و خروجی را نظارت و کنترل کنند. فایروال ها می توانند به جلوگیری از دسترسی باج افزارها به دستگاه ها و انتشار در سراسر شبکه ها کمک کنند.

• آموزش و آگاهی کارکنان : به کارکنان در مورد خطرات باج افزار آموزش دهید و به آنها آموزش دهید که چگونه ایمیل ها، پیوندها و پیوست های مشکوک را شناسایی کنند. برای ترویج شیوه های محاسباتی ایمن، آموزش های آگاهی امنیتی را به طور منظم انجام دهید.

• کنترل‌های دسترسی و حداقل امتیاز : امتیازات و حقوق دسترسی کاربر را فقط به مواردی که برای نقش‌های آنها ضروری است محدود کنید. با محدود کردن دسترسی به داده‌های حساس و سیستم‌های حیاتی، اصل حداقل امتیاز را برای به حداقل رساندن تأثیر حملات باج‌افزار تقویت کنید.

• پشتیبان‌گیری از داده‌ها : به طور مرتب از داده‌ها در راه‌حل‌های پشتیبان‌گیری آفلاین یا مبتنی بر ابر پشتیبان‌گیری کنید. اطمینان حاصل کنید که نسخه‌های پشتیبان رمزگذاری شده، به طور منظم از نظر قابلیت اطمینان آزمایش می‌شوند و به طور ایمن ذخیره می‌شوند.

• تقسیم‌بندی شبکه : شبکه‌ها را برای جدا کردن سیستم‌های حیاتی و داده‌های خصوصی از سایر بخش‌های شبکه تقسیم بندی کنید. این می تواند به جلوگیری از گسترش باج افزار و محدود کردن آسیب ناشی از عفونت کمک کند.

با اجرای این اقدامات امنیتی، سازمان ها می توانند بهتر از داده ها و دستگاه های خود در برابر تهدیدات باج افزار محافظت کنند و خطر قربانی شدن در این حملات مخرب را کاهش دهند.

درخواست باج تحویل قربانیان باج افزار Hitobito به شرح زیر است:

'Ooops, your files have been encrypted by Kage No Hitobito Group!

All your important files and documents have been encrypted by us.

Step 1:
On your current desktop, open up your default browser.
Search for Tor Browser or visit hxxps://www.torproject.org/
If you cannot access Tor then use a VPN to get it instead.
Then download to the Tor Browser and follow Step 2.

Step 2:
Navigate to the group chat and select 'Hitobito' from the username list.
Message with your situation and the price you are willing to pay for your files.
hxxp://notbumpz34bgbz4yfdigxvd6vzwtxc3zpt5imukgl6bvip2nikdmdaad.onion/chat/
If you do not know how to private messasge, ask the chat, they are usually friendly.
Though we advise you not to click links or follow any discussion they talk of.

Step 3: This is the important part, the one where you restore your computer quickly.
If you negotiate correctly and pay our ransom, we will send you a decryptor.
Reminder that 'Hitobito' can be impersonated or be one of several group members.'