Программа-вымогатель HuiVJope
Среди последних дополнений к сценариям программ-вымогателей — HuiVJope Ransomware, угрожающий вариант, принадлежащий пресловутому семейству программ-вымогателей Phobos . HuiVJope отличается добавлением уникального расширения к файлам зашифрованных жертв, обычно в формате «.HuiVJope», за которым следует переменный номер. Такая настройка усложняет работу по восстановлению файлов, поскольку у жертв остается безошибочный признак компрометации.
Оглавление
Записка о выкупе и каналы связи
После успешного шифрования файлов HuiVJope отправляет записку с требованием выкупа под названием «info.txt» или «info.hta», в которой излагаются условия получения данных и оплаты. Злоумышленники предоставляют контактную информацию для связи, используя дескриптор Telegram «@GROUNDINGCONDUCTOR» и адрес электронной почты «huivjope@tutanota.com». Эти каналы служат для жертв основным способом договориться о выкупе и потенциально восстановить доступ к своим скомпрометированным данным.
HuiVJope использует многогранный подход для ослабления защиты целевой системы. Программа-вымогатель предназначена для отключения брандмауэра, важнейшего компонента инфраструктуры безопасности системы. Нейтрализуя этот основной защитный механизм, HuiVJope обеспечивает более плавный процесс проникновения и исполнения.
Устранение способов восстановления данных
Чтобы максимизировать эффект от атаки, HuiVJope принимает стратегические меры по устранению потенциальных способов восстановления данных. Программа-вымогатель нацелена на теневые копии томов — функцию, которая позволяет пользователям восстанавливать предыдущие версии файлов. Уничтожая эти теневые копии, HuiVJope еще больше усиливает контроль над данными жертвы, оставляя им ограниченные возможности для извлечения.
Использование уязвимостей в протоколе удаленного рабочего стола (RDP)
HuiVJope особенно хорошо умеет эксплуатировать уязвимости в службах протокола удаленного рабочего стола (RDP), стандартного метода доступа и управления удаленными системами. Программа-вымогатель получает несанкционированный доступ, используя грубую силу и атаки по словарю на плохо управляемые учетные данные учетных записей, связанных со службами RDP. Этот метод позволяет HuiVJope проникать в системы и начинать разрушительный процесс шифрования.
Механизмы сохранения и сбор данных
Помимо непосредственного воздействия, HuiVJope обладает механизмами сохранения в зараженной системе, обеспечивая длительное присутствие. Такая устойчивость позволяет программе-вымогателю сохранять контроль над скомпрометированной системой и потенциально запускать последующие атаки. Более того, HuiVJope ориентирован не только на шифрование; он также демонстрирует возможности сбора данных. Программа-вымогатель способна собирать данные о местоположении, что потенциально позволяет злоумышленникам атаковать определенные географические регионы. Примечательно, что он может исключать заранее определенные местоположения из сбора данных, что свидетельствует об уровне сложности его стратегии таргетинга.
Появление программы-вымогателя HuiVJope подчеркивает развивающийся и сложный характер киберугроз. Организации и частные лица должны уделять приоритетное внимание надежным методам кибербезопасности, включая регулярные обновления программного обеспечения, политику надежных паролей и информацию сотрудников о тактиках фишинга и социальной инженерии. Кроме того, сохранение резервных копий в автономном режиме остается важнейшим средством защиты от растущей угрозы атак программ-вымогателей. Поскольку ситуация в сфере кибербезопасности продолжает развиваться, для снижения рисков, создаваемых такими угрожающими организациями, как HuiVJope, необходим превентивный и многоуровневый подход к защите.
Вот сообщение о выкупе HuiVJope Ransomware:
'!! ВНИМАНИЕ !!!
Ваша сеть взломана, а файлы зашифрованы.
Помимо зашифрованных данных мы также загрузили и другую конфиденциальную информацию: данные ваших сотрудников, клиентов, партнеров, а также бухгалтерскую и другую внутреннюю документацию вашей компании.
О данных
Все данные хранятся до тех пор, пока вы не заплатите.
После оплаты мы предоставим вам программы для расшифровки и удалим ваши данные.
Мы не хотим причинить вашей компании что-то плохое, это всего лишь бизнес (Наша репутация — наши деньги!)
Если вы откажетесь вести с нами переговоры (по любой причине), все ваши данные будут выставлены на продажу.
С чем вы столкнетесь, если ваши данные попадут на черный рынок:
Персональная информация ваших сотрудников и клиентов может быть использована для получения кредита или покупок в интернет-магазинах.
Клиенты вашей компании могут подать на вас в суд за утечку конфиденциальной информации.
После того как другие хакеры получат персональные данные о ваших сотрудниках, к вашей компании будет применена социальная инженерия и последующие атаки будут только усиливаться.
Банковские реквизиты и паспорта могут быть использованы для создания банковских счетов и онлайн-кошельков, через которые будут отмываться преступные деньги.
Вы навсегда потеряете репутацию.
Вы будете подвергнуты огромным штрафам со стороны правительства.
Подробнее об ответственности за потерю данных можно узнать здесь: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation или здесь hxxps://gdpr-info.eu.
Суды, штрафы и невозможность использовать важные файлы приведут вас к огромным потерям. Последствия этого будут для вас необратимы.
Обращение в полицию не избавит вас от этих последствий, а потеря данных только усугубит ваше положение.
Как с нами связаться
Пишите нам на почту: HuiVJope@tutanota.com
Вы можете связаться с нашим онлайн-оператором в телеграм: @GROUNDINGCONDUCTOR (БУДЬТЕ ОСТОРОЖНЫ С ПОДДЕЛКОЙ)
Загрузите мессенджер (сеанс) hxxps://getsession.org в мессенджере: ID "05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Напишите этот идентификатор в заголовке вашего сообщения 9ECFA84E-3511.
ЕСЛИ ВЫ СВЯЖИТЕСЬ С НАМИ В ПЕРВЫЕ 6 ЧАСОВ, а мы заключим сделку в течение 24 часов, ЦЕНА БУДЕТ ВСЕГО 30%.
(время — деньги для нас обоих, если вы позаботитесь о нашем времени, мы сделаем то же самое, мы позаботимся о цене, и процесс расшифровки будет выполнен ОЧЕНЬ БЫСТРО)
ВСЕ СКАЧАННЫЕ ДАННЫЕ БУДУТ УДАЛЕНЫ после оплаты.
Что нельзя делать и рекомендации
Выйти из этой ситуации можно с минимальными потерями (Наша репутация - наши деньги!)!!! Для этого необходимо строго соблюдать следующие правила:
НЕ изменяйте, НЕ переименовывайте, НЕ копируйте, НЕ перемещайте файлы. Такие действия могут ПОВРЕДИТЬ им и расшифровка будет невозможна.
НЕ используйте стороннее или общедоступное программное обеспечение для дешифрования, оно также может ПОВРЕДИТЬ файлы.
НЕ выключайте и не перезагружайте систему, это может ПОВРЕДИТЬ файлы.
НЕ нанимайте сторонних переговорщиков (восстановления/полиции и т. д.). Вам необходимо как можно скорее связаться с нами и начать переговоры.
Вы можете отправить нам 1-2 небольших файла данных, не имеющих значения, для тестирования, мы расшифруем их и отправим вам обратно.
После оплаты нам потребуется не более 2 часов для расшифровки всех ваших данных. Мы будем поддерживать вас до тех пор, пока не будет выполнена полная расшифровка! ! ! (Наша репутация — наши деньги!)»
