Hairysquid Ransomware
Ransomware som kallas Hairysquid fungerar genom att kryptera filer och lägga till tillägget '.Hairysquid' i slutet av filnamnen för krypterade filer. Förutom att kryptera filer skapar den skadliga programvaran också en lösennota som sparas på de enheter som har brutits som en fil med namnet 'READ_ME_DECRYPTION_HAIRYSQUID.txt'. Hairysquid är en ny variant av Mimic ransomware.
Innehållsförteckning
Hairysquid Ransomware inaktiverar viktiga datorfunktioner
Hairysquid Ransomware kan göra betydande förändringar i en dators system. Ett av de viktigaste sätten att göra detta på är genom att ändra Windows GroupPolicy, som är ansvarig för att ställa in regler och begränsningar som styr en dators beteende. Specifikt inaktiverar Hairysquid skyddet som erbjuds av Windows Defender, en säkerhetsfunktion som är avgörande för att ransomware ska fungera effektivt. Detta innebär att när det inte finns något anti-malware-program installerat på datorn, är Windows Defender vanligtvis den första försvarslinjen mot skadlig programvara, och genom att inaktivera den får Hairysquid fotfäste på systemet.
Dessutom avbryter Hairysquid alla aktiva fjärranslutningar, vilket resulterar i att anslutna användare förlorar kontrollen. Det betyder att alla som var fjärranslutna till den drabbade datorn inte längre skulle ha tillgång till den. Hairysquid avslutar och inaktiverar också TaskManager, ett inbyggt Windows-verktyg som låter användare se och hantera de program och processer som körs på deras dator. Ransomwaren modifierar också registernyckeln, som är ansvarig för att kontrollera beteendet hos olika program och tjänster, för att helt förhindra TaskManager från att aktiveras.
Dessutom förhindrar Hairysquid utloggnings-, omstart- och avstängningsfunktioner på de brutna enheterna. Detta innebär att användare inte kan logga ut från sina konton, starta om eller stänga av sina datorer, vilket gör det svårare att stoppa ransomwarens aktiviteter. Alla dessa modifieringar gör Hairysquid till ett särskilt lömskt hot som kan vara svårt att ta bort när det väl har tagit tag i ett system.
Angripare bakom Hairysquid Ransomware lämnar en lång ransomnotering
När en dator är infekterad med Hairysquid ransomware, lämnas en lösennota kvar för att informera offret om situationen. I lösennotan står det att alla filer på den infekterade datorn är krypterade, vilket gör att de inte längre är tillgängliga för offret utan dekrypteringsnyckeln. Anteckningen informerar sedan offren om att de måste betala cyberbrottslingarna för dekrypteringen av deras filer. Dessutom ges offren möjlighet att testa om angriparna kan dekryptera sina filer innan de betalar.
För att säkerställa att dekrypteringsprocessen kommer att fungera, instruerar lösennotan offren att skicka det specifika ID som tilldelats dem av skadlig programvara tillsammans med upp till tre filer för testdekryptering. Denna process tillåter angriparna att visa att de har förmågan att dekryptera filerna och kan lita på att leverera den utlovade dekrypteringsnyckeln.
Lösenedeln ger flera kontaktalternativ, inklusive TOX messenger, ICQ messenger, Skype och e-post. Denna mängd kontaktalternativ gör att angriparna kan kommunicera med offret på ett sätt som är bekvämt för dem.
Lösennotan informerar också offren om att efter testdekrypteringen kommer de att få en Bitcoin kryptoplånboksadress dit lösensumman ska överföras. Bitcoin är en kryptovaluta som ofta används i ransomware-attacker eftersom den är svår att spåra. När betalning är gjord kommer hotaktörerna att skicka dekrypteringsprogrammet och instruktionerna till offret, så att de kan återfå åtkomst till sina krypterade filer. Det finns dock ingen garanti för att angriparna kommer att fullfölja sina löften och faktiskt kommer att hjälpa offren att återställa den låsta datan efter att de redan har pressat dem på pengar.
Den fullständiga texten i Hairysquid Ransomwares lösennota är:
Ransomware som kallas Hairysquid fungerar genom att kryptera filer och lägga till tillägget '.Hairysquid' i slutet av filnamnen för krypterade filer. Förutom att kryptera filer skapar den skadliga programvaran också en lösennota som sparas på de enheter som har brutits som en fil med namnet 'READ_ME_DECRYPTION_HAIRYSQUID.txt'. Hairysquid är en ny variant av Mimic R nsomware .
Hairysquid Ransomware inaktiverar viktiga datorfunktioner
Hairysquid Ransomware kan göra betydande förändringar i en dators system. Ett av de viktigaste sätten att göra detta på är genom att ändra Windows GroupPolicy, som är ansvarig för att ställa in regler och begränsningar som styr en dators beteende. Specifikt inaktiverar Hairysquid skyddet som erbjuds av Windows Defender, en säkerhetsfunktion som är avgörande för att ransomware ska fungera effektivt. Detta innebär att när det inte finns något anti-malware-program installerat på datorn, är Windows Defender vanligtvis den första försvarslinjen mot skadlig programvara, och genom att inaktivera den får Hairysquid fotfäste på systemet.
Dessutom avbryter Hairysquid alla aktiva fjärranslutningar, vilket resulterar i att anslutna användare förlorar kontrollen. Det betyder att alla som var fjärranslutna till den drabbade datorn inte längre skulle ha tillgång till den. Hairysquid avslutar och inaktiverar också TaskManager, ett inbyggt Windows-verktyg som låter användare se och hantera de program och processer som körs på deras dator. Ransomwaren modifierar också registernyckeln, som är ansvarig för att kontrollera beteendet hos olika program och tjänster, för att helt förhindra TaskManager från att aktiveras.
Dessutom förhindrar Hairysquid utloggnings-, omstart- och avstängningsfunktioner på de brutna enheterna. Detta innebär att användare inte kan logga ut från sina konton, starta om eller stänga av sina datorer, vilket gör det svårare att stoppa ransomwarens aktiviteter. Alla dessa modifieringar gör Hairysquid till ett särskilt lömskt hot som kan vara svårt att ta bort när det väl har tagit tag i ett system.
Angriparna bakom Hairysquid Ransomware lämnar en lång ransom
När en dator är infekterad med Hairysquid ransomware, lämnas en lösennota kvar för att informera offret om situationen. I lösennotan står det att alla filer på den infekterade datorn är krypterade, vilket gör att de inte längre är tillgängliga för offret utan dekrypteringsnyckeln. Anteckningen informerar sedan offren om att de måste betala cyberbrottslingarna för dekrypteringen av deras filer. Dessutom ges offren möjlighet att testa om angriparna kan dekryptera sina filer innan de betalar.
För att säkerställa att dekrypteringsprocessen kommer att fungera, instruerar lösennotan offren att skicka det specifika ID som tilldelats dem av skadlig programvara tillsammans med upp till tre filer för testdekryptering. Denna process tillåter angriparna att visa att de har förmågan att dekryptera filerna och kan lita på att leverera den utlovade dekrypteringsnyckeln.
Lösenedeln ger flera kontaktalternativ, inklusive TOX messenger, ICQ messenger, Skype och e-post. Denna mängd kontaktalternativ gör att angriparna kan kommunicera med offret på ett sätt som är bekvämt för dem.
Lösennotan informerar också offren om att efter testdekrypteringen kommer de att få en Bitcoin kryptoplånboksadress dit lösensumman ska överföras. Bitcoin är en kryptovaluta som ofta används i ransomware-attacker eftersom den är svår att spåra. När betalning är gjord kommer hotaktörerna att skicka dekrypteringsprogrammet och instruktionerna till offret, så att de kan återfå åtkomst till sina krypterade filer. Det finns dock ingen garanti för att angriparna kommer att fullfölja sina löften och faktiskt kommer att hjälpa offren att återställa den låsta datan efter att de redan har pressat dem på pengar.
Den fullständiga texten i Hairysquid Ransomwares lösennota är:
'Hej!
Alla dina filer har krypterats med vårt virus.
Ditt unika ID: -Du kan köpa fullständig dekryptering av dina filer
Men innan du betalar kan du se till att vi verkligen kan dekryptera någon av dina filer.
Krypteringsnyckeln och ID är unika för din dator, så du är garanterad att kunna returnera dina filer.Att göra detta:
1) Skicka ditt unika id - och max 3 filer för testdekryptering
VÅRA KONTAKTER
1.1) TOX-budbärare (snabb och anonym)
hxxps://tox.chat/download.html
Installera qtox
tryck sjung upp
skapa ditt eget namn
Tryck på plus
Sätt mitt tox-ID där
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Och lägg till mig/skriv meddelande
1.2) ICQ Messenger
ICQ livechatt som fungerar 24/7 - @Hairysquid
Installera ICQ-programvaran på din PC här hxxps://icq.com/windows/ eller sök efter "ICQ" på din smartphone i Appstore/Google Market
Skriv till vår ICQ @Hairysquid hxxps://icq.im/Hairysquid
1.3) Skype
Hairysquid Dekryptering
1.4) Mail (skriv bara i kritiska situationer innan din e-post kanske inte levereras eller hamnar i skräppost)Hairysquid@onionmail.org
Skriv ditt dekrypterings-ID i ämnesraden: -
Efter dekrypteringen skickar vi de dekrypterade filerna och en unik bitcoin-plånbok till dig för betalning.
Efter betalning av lösen för Bitcoin kommer vi att skicka dig ett dekrypteringsprogram och instruktioner. Om vi kan dekryptera dina filer har vi ingen anledning att lura dig efter betalning.Vanliga frågor:
Kan jag få rabatt?
Nej. Lösenbeloppet beräknas baserat på antalet krypterade kontorsfiler och rabatter ges inte. Alla sådana meddelanden kommer att ignoreras automatiskt. Om du verkligen bara vill ha några av filerna, zippa dem och ladda upp dem någonstans. Vi kommer att avkoda dem gratis som bevis.
Vad är Bitcoin?
läs bitcoin.org
Var kan man köpa bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (snabbaste sättet)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
eller använd google.com för att hitta information var du kan köpa den
Var finns garantin att jag får tillbaka mina filer?
Just det faktum att vi kan dekryptera dina slumpmässiga filer är en garanti. Det är ingen mening för oss att lura dig.
Hur snabbt får jag nyckeln och dekrypteringsprogrammet efter betalning?
Som regel under 15 min
Hur fungerar dekrypteringsprogrammet?
Det är enkelt. Du måste köra vår programvara. Programmet kommer automatiskt att dekryptera alla krypterade filer på din hårddisk.
