Hitobito Ransomware

Истраживачи сајбер безбедности идентификовали су нову претњу рансомваре-а под називом Хитобито. Овај претећи софтвер шифрује датотеке на зараженим уређајима, чинећи их недоступним кориснику. Након тога, нападачи захтевају плаћање од жртава у замену за наводно дешифровање захваћених података. Након активације, Хитобито додаје екстензију '.хитобито' оригиналним именима датотека шифрованих датотека. На пример, датотека под називом '1.пнг' би се појавила као '1.јпг.хитобито', а '2.пдф' као '2.пдф.хитобито' и тако даље за све закључане датотеке.

Након процеса шифровања, Хитобито приказује белешку о откупнини у искачућем прозору и генерише другу у текстуалној датотеци под називом „КагеНоХитобито_РеадМе.ткт“. Обе поруке имају идентичан садржај. Значајно је да је утврђено да се откривена верзија Хитобито Рансомваре-а може дешифровати без потребе да се жртве ангажују са нападачима.

Хитобито покушава да изнуди своје жртве узимајући податке као таоце

Хитобито-ове белешке о откупнини служе да обавесте жртве да су њихови подаци шифровани, што их наводи да ступе у контакт са нападачима путем ћаскања на веб страници мреже Тор како би преговарали о цени дешифровања. Међутим, за оне који су погођени Хитобито-ом постоји сребро – овај рансомвер се може дешифровати. Лозинка за дешифровање, или кључ, је „Пассворд123“ (без наводника).

Међутим, иако Хитобито тренутно може да се дешифрује, будуће итерације овог малвера могле би да долазе са различитим кључевима за опоравак. Рансомваре обично користи робусне криптографске алгоритме и јединствене кључеве, чинећи дешифровање без учешћа нападача реткост.

Штавише, жртве можда неће увек добити обећане кључеве за опоравак или софтвер чак и након што испуне захтеве за откуп. Ово наглашава ризик повезан са плаћањем откупнине, јер не само да не гарантује дешифровање датотеке, већ подржава и криминалне активности.

Да бисте спречили даље шифровање података помоћу рансомваре-а као што је Хитобито, неопходно је уклонити малвер из оперативног система. Међутим, кључно је разумети да уклањање рансомваре-а неће вратити датотеке које су већ компромитоване.

Безбедносне мере које ће вам помоћи да боље заштитите своје податке и уређаје од претњи рансомвера

Имплементација вишеслојног безбедносног приступа је од суштинског значаја за бољу заштиту података и уређаја од претњи рансомвера. Ево неколико кључних безбедносних мера:

• Доследно ажурирање софтвера и управљање закрпама : Уверите се да се сви оперативни системи, софтверске апликације и безбедносни програми систематски ажурирају најновијим безбедносним закрпама. Застарели софтвер који има рањивости могу да искористе нападачи рансомваре-а.
• Коришћење софтвера против малвера : Инсталирајте реномирани софтвер за заштиту од малвера на свим уређајима и одржавајте их ажурираним. Ове апликације могу помоћи у откривању и спречавању инфекција рансомвером пре него што могу да изазову штету.

• Заштита заштитног зида : Омогућите заштитне зидове на свим уређајима и мрежама да надгледају и контролишу долазни и одлазни саобраћај. Заштитни зидови могу помоћи да блокирају приступ рансомваре-у уређајима и ширење по мрежама.

• Обука и свест запослених : Образујте запослене о ризицима рансомваре-а и научите их како да идентификују сумњиве е-поруке, везе и прилоге. Спроводите редовну обуку за подизање свести о безбедности како бисте промовисали безбедне рачунарске праксе.

• Контроле приступа и најмање привилегије : Ограничите корисничке привилегије и права приступа само на оне неопходне за њихове улоге. Појачајте принцип најмање привилегија да бисте смањили утицај напада на рансомваре ограничавањем приступа осетљивим подацима и критичним системима.

• Резервна копија података : Редовно правите резервне копије података у офлајн решењима или решењима за прављење резервних копија у облаку. Уверите се да су резервне копије шифроване, да се редовно тестирају на поузданост и да се чувају безбедно.

• Сегментација мреже : Сегментирајте мреже да бисте издвојили критичне системе и приватне податке из других делова мреже. Ово може помоћи да се заустави ширење рансомваре-а и ограничи штета узрокована инфекцијом.

Применом ових безбедносних мера, организације могу боље да заштите своје податке и уређаје од претњи рансомвера и умањују ризик да постану жртве ових штетних напада.

Захтјев за откуп достављен жртвама Хитобито Рансомваре-а гласи:

'Ooops, your files have been encrypted by Kage No Hitobito Group!

All your important files and documents have been encrypted by us.

Step 1:
On your current desktop, open up your default browser.
Search for Tor Browser or visit hxxps://www.torproject.org/
If you cannot access Tor then use a VPN to get it instead.
Then download to the Tor Browser and follow Step 2.

Step 2:
Navigate to the group chat and select 'Hitobito' from the username list.
Message with your situation and the price you are willing to pay for your files.
hxxp://notbumpz34bgbz4yfdigxvd6vzwtxc3zpt5imukgl6bvip2nikdmdaad.onion/chat/
If you do not know how to private messasge, ask the chat, they are usually friendly.
Though we advise you not to click links or follow any discussion they talk of.

Step 3: This is the important part, the one where you restore your computer quickly.
If you negotiate correctly and pay our ransom, we will send you a decryptor.
Reminder that 'Hitobito' can be impersonated or be one of several group members.'