HBM Ransomware

האיום של HBM Ransomware מסוגל לבצע שגרת הצפנה עם אלגוריתם קריפטוגרפי חזק. כתוצאה מכך, הנתונים במחשבים הנגועים באיום יוצפנו ולא יהיו נגישים. קורבנות יאבדו למעשה את הגישה לרוב המסמכים שלהם, קובצי PDF, תמונות, קבצי אודיו ווידאו, ארכיונים, מסדי נתונים וסוגי קבצים אחרים. הנתונים הנעולים ישמשו את פושעי הסייבר כמנוף לסחיטת כספים מהמשתמשים או הארגונים שנפגעו.

כל קובץ שננעל על ידי תוכנת הכופר של HBM ישתנה באופן דרסטי שמו המקורי. האיום יצור תחילה מחרוזת מזהה ייחודית עבור הקורבנות ויצרף אותה לשמות הקבצים. לאחר מכן, היא תציב כתובת אימייל בשליטת ההאקרים - 'hebem@cock.li'. לבסוף, '.HBM' מצורף בתור סיומת קובץ חדשה. לקורבנות האיום יסופקו שני שטרות כופר. אחד יוצג כחלון מוקפץ, בעוד השני יונח על שולחן העבודה של המכשיר הפרוץ כקובץ טקסט בשם 'info.txt'.

ההודעה שנמצאה בקובץ הטקסט קצרה ביותר. כאן, התוקפים פשוט אומרים לקורבנותיהם ליצור קשר עם כתובות האימייל 'hebem@cock.li' או 'hebem@tuta.io'. החלון המוקפץ מספק פתק כופר ארוך יותר, אך גם חסר בו פרטים חשובים רבים. ההאקרים לרוב חוזרים על שתי כתובות האימייל ומזהירים משתמשים ששינוי שמות הקבצים הנעולים או ניסיון לפענח אותם בכלים של צד שלישי עלול לגרום לנזק קבוע.

הטקסט המלא של ההוראות המוצגות כחלון קופץ הוא:

'הקבצים שלך מוצפנים

דהארמה

אל תדאג, אתה יכול להחזיר את כל הקבצים שלך!
אם אתה רוצה לשחזר אותם, כתוב למייל: hebem@cock.li תעודת הזהות שלך -
אם לא ענית בדואר תוך 12 שעות, כתוב לנו בדואר אחר: hebem@tuta.io

תשומת הלב!
אנו ממליצים לך לפנות אלינו ישירות כדי להימנע מתשלום יתר של סוכנים

אל תשנה את שמם של קבצים מוצפנים.
אל תנסה לפענח את הנתונים שלך באמצעות תוכנת צד שלישי, זה עלול לגרום לאובדן נתונים קבוע.
פענוח הקבצים שלך בעזרת צדדים שלישיים עלול לגרום לעלייה במחיר (הם מוסיפים את העמלה שלהם לשלנו) או שאתה יכול להפוך לקורבן של הונאה.'

ההודעה שנמסרה כקובץ טקסט היא:

"כל הנתונים שלך ננעלו לנו
אתה רוצה לחזור?
כתוב אימייל hebem@cock.li או hebem@tuta.io'