Hip1 Ransomware
HIP1 on lunnasohjelmauhka, joka voidaan ottaa käyttöön osana hyökkäystoimintoja. Ransomware-uhat ovat uhkaavia luomuksia, jotka on suunniteltu lukitsemaan uhriensa tiedot purkamattomalla salausalgoritmilla. Asianomaiset tiedostot eivät ole enää käytettävissä tai käytettävissä millään tavalla. Tyypillisesti uhkatoimijoiden tavoitteena on kiristää asianomaisia henkilöitä tai yhteisöjä rahaksi, vastineeksi heille toimitettaessa tarvittavat salauksenpurkuavaimet. HIP1 Ransomwaren analyysi on vahvistanut, että se on muunnelma VoidCrypt Ransomwsre uhka.
Kun HIP1 on täysin aktivoitu rikotussa laitteessa, se salaa kohdetiedostot ja muuttaa niiden alkuperäiset nimet. Tarkemmin sanottuna uhka lisää tunnusmerkkijonon, sähköpostiosoitteen ja uuden tiedostotunnisteen. Tunnus luodaan jokaiselle uhrille, sähköpostiosoite on "FreedomTeam@mail.ee" ja liitteenä oleva tiedostopääte on ".HIP1". Uhkatoimijoiden ohjeita sisältävä lunnausviesti pudotetaan tekstitiedostona nimeltä "Read_Me!_.txt".
Lunnasviestissä mainitaan toissijainen viestintäkanava 'Freedom29@Tutanota.com' sähköpostin kautta. Se paljastaa myös, että hyökkääjät suorittavat kaksoiskiristysoperaatiota. Arvokkaiden tiedostojen salaamisen lisäksi hyökkääjät väittävät keränneensä arkaluonteisia ja luottamuksellisia tietoja tartunnan saaneilta laitteilta. Tiedot julkaistaan yleisölle tai myydään kiinnostuneille, kuten uhrin kilpailijoille, ellei kyberrikollisille makseta vaadittua lunnaita. Vaikka lunnaiden tarkkaa summaa ei mainita, huomautuksessa todetaan, että vain Bitcoin-maksut hyväksytään.
Lunnasilmoituksen koko teksti on:
"Kaikki tiedostosi salattu ja arkaluonteiset tiedot ladattu (rahoitusasiakirjat, sopimukset, laskut jne..).
Saadaksesi salauksenpurkutyökalut sinun tulee ostaa salauksenpurkutyökalumme, ja sitten lähetämme sinulle salauksenpurkutyökalut ja poistamme arkaluontoiset tietosi palvelimiltamme.
Jos maksua ei suoriteta, meidän on tarvittaessa julkaistava arkaluonteiset tietosi, myytävä ne ja lähetettävä ne kilpailijoillesi, ja jonkin ajan kuluttua palvelimemme poistavat decripion-avaimesi palvelimilta.
Tiedostosi on salattu vahvimmalla salausalgoritmilla, joten ilman salauksenpurkutyökalujamme kukaan ei voi auttaa sinua, joten älä tuhlaa aikaasi turhaan!
Henkilöllisyystodistuksesi:
Sähköpostiosoite: FreedomTeam@mail.ee
Jos sinulla on ongelmia ensimmäisen sähköpostin kanssa, kirjoita meille sähköpostia osoitteeseen: Freedom29@Tutanota.com
Lähetä henkilötunnuksesi sähköpostitse ja tarkista roskapostikansio.
Tämä on vain liiketoimintaa etujen saamiseksi, jos et ota meihin yhteyttä 48 tunnin salauksen purkamisen jälkeen, hinta nousee x2.
Minkä takuun annamme sinulle?
Sinun pitäisi lähettää meille salattuja tiedostoja salauksenpurkutestiä varten.
--------------------------------------------------- ---------------------
Huomio!
Älä muokkaa tai nimeä uudelleen salattuja tiedostoja.
Älä yritä purkaa tiedostoja kolmannen osapuolen tai tietojen palautusohjelmiston toimesta. Se voi vahingoittaa tiedostoja.
Jos yrität purkaa tiedostojen salauksen kolmannen osapuolen ohjelmistoilla, tämä voi tehdä salauksen purkamisesta vaikeampaa, joten hinnat nousevat.
--------------------------------------------------- ---------------------
Kuinka ostaa Bitcoinia:
Osta Bitcoin-ohjeet LocalBitcoinsista:
hxxps://localbitcoins.com/guides/how-to-buy-bitcoins
Osta Bitcoin-ohjeet Coindeskistä ja hanki lisätietoja etsimällä Googlesta:
hxxps://www.coindesk.com/learn/how-can-i-buy-bitcoin/'
