ส่วนลดหลายใบอนุญาต
Threat Database Ransomware แฮรี่สควิด แรนซัมแวร์

แฮรี่สควิด แรนซัมแวร์

โดย Mezo ใน Ransomware
แปลเป็น:
ภาษาไทย

แรนซั่มแวร์ที่เรียกว่า Hairysquid ทำงานโดยเข้ารหัสไฟล์และเพิ่มนามสกุล '.Hairysquid' ต่อท้ายชื่อไฟล์ของไฟล์ที่เข้ารหัส นอกเหนือจากการเข้ารหัสไฟล์แล้ว มัลแวร์ยังสร้างบันทึกเรียกค่าไถ่ที่บันทึกไว้ในอุปกรณ์ที่ถูกละเมิดเป็นไฟล์ชื่อ 'READ_ME_DECRYPTION_HAIRYSQUID.txt' Hairysquid เป็นรูปแบบใหม่ของ Mimic ransomware

Hairysquid Ransomware ปิดการใช้งานฟังก์ชั่นที่สำคัญของคอมพิวเตอร์

Hairysquid Ransomware สามารถทำการเปลี่ยนแปลงที่สำคัญกับระบบของคอมพิวเตอร์ได้ หนึ่งในวิธีหลักในการดำเนินการนี้คือการแก้ไข Windows GroupPolicy ซึ่งมีหน้าที่กำหนดกฎและข้อจำกัดที่ควบคุมพฤติกรรมของคอมพิวเตอร์ โดยเฉพาะอย่างยิ่ง Hairysquid จะปิดใช้งานการป้องกันที่มีให้โดย Windows Defender ซึ่งเป็นคุณลักษณะด้านความปลอดภัยที่มีความสำคัญอย่างยิ่งต่อการทำงานของแรนซัมแวร์อย่างมีประสิทธิภาพ ซึ่งหมายความว่าเมื่อไม่มีการติดตั้งโปรแกรมป้องกันมัลแวร์ในคอมพิวเตอร์ Windows Defender จะเป็นด่านแรกของการป้องกันมัลแวร์ และการปิดใช้งานโปรแกรมนี้ Hairysquid จะตั้งหลักบนระบบได้

นอกจากนี้ Hairysquid ยังตัดการเชื่อมต่อระยะไกลที่ใช้งานอยู่ทั้งหมด ส่งผลให้ผู้ใช้ที่เชื่อมต่อสูญเสียการควบคุม ซึ่งหมายความว่าใครก็ตามที่เชื่อมต่อระยะไกลกับคอมพิวเตอร์ที่ได้รับผลกระทบจะไม่สามารถเข้าถึงได้อีกต่อไป นอกจากนี้ Hairysquid ยังยุติและปิดใช้งาน TaskManager ซึ่งเป็นยูทิลิตี้ Windows ในตัวที่ช่วยให้ผู้ใช้สามารถดูและจัดการโปรแกรมและกระบวนการที่ทำงานบนคอมพิวเตอร์ของตนได้ แรนซัมแวร์ยังปรับเปลี่ยนคีย์รีจิสทรี ซึ่งมีหน้าที่ควบคุมการทำงานของโปรแกรมและบริการต่างๆ เพื่อป้องกันไม่ให้ TaskManager เปิดใช้งานโดยสิ้นเชิง

นอกจากนี้ Hairysquid ยังป้องกันการลงชื่อออก รีสตาร์ท และปิดการทำงานบนอุปกรณ์ที่ถูกละเมิด ซึ่งหมายความว่าผู้ใช้ไม่สามารถออกจากระบบบัญชีของตน รีสตาร์ทหรือปิดเครื่องคอมพิวเตอร์ ทำให้หยุดกิจกรรมของแรนซัมแวร์ได้ยากขึ้น การปรับเปลี่ยนทั้งหมดเหล่านี้ทำให้ Hairysquid เป็นภัยคุกคามที่ร้ายกาจเป็นพิเศษ ซึ่งอาจเป็นเรื่องยากที่จะกำจัดเมื่อมันเข้าครอบครองระบบแล้ว

ผู้โจมตีเบื้องหลัง Hairysquid Ransomware ทิ้งหมายเหตุค่าไถ่ที่มีความยาว

เมื่อคอมพิวเตอร์ติดแฮรีสควิดแรนซัมแวร์ ข้อความเรียกค่าไถ่จะถูกทิ้งไว้เพื่อแจ้งให้เหยื่อทราบถึงสถานการณ์ บันทึกเรียกค่าไถ่ระบุว่าไฟล์ทั้งหมดในคอมพิวเตอร์ที่ติดไวรัสได้รับการเข้ารหัส ซึ่งหมายความว่าเหยื่อไม่สามารถเข้าถึงได้อีกต่อไปหากไม่มีคีย์ถอดรหัส จากนั้นบันทึกจะแจ้งให้เหยื่อทราบว่าพวกเขาต้องจ่ายเงินให้อาชญากรไซเบอร์สำหรับการถอดรหัสไฟล์ของพวกเขา นอกจากนี้ เหยื่อยังมีโอกาสทดสอบว่าผู้โจมตีสามารถถอดรหัสไฟล์ของตนได้หรือไม่ก่อนที่จะชำระเงิน

เพื่อให้แน่ใจว่ากระบวนการถอดรหัสจะทำงานได้ บันทึกเรียกค่าไถ่จะแนะนำให้เหยื่อส่ง ID เฉพาะที่มัลแวร์กำหนดให้กับพวกเขาพร้อมกับไฟล์สูงสุดสามไฟล์เพื่อทดสอบการถอดรหัส กระบวนการนี้ช่วยให้ผู้โจมตีสามารถแสดงให้เห็นว่าพวกเขามีความสามารถในการถอดรหัสไฟล์และสามารถเชื่อถือได้ในการส่งคีย์ถอดรหัสที่สัญญาไว้

บันทึกเรียกค่าไถ่มีตัวเลือกการติดต่อหลายทาง รวมถึง TOX messenger, ICQ messenger, Skype และอีเมล ตัวเลือกการติดต่อที่หลากหลายนี้ทำให้ผู้โจมตีสามารถสื่อสารกับเหยื่อด้วยวิธีที่สะดวกสำหรับพวกเขา

บันทึกค่าไถ่ยังแจ้งให้ผู้ที่ตกเป็นเหยื่อทราบว่าหลังจากทดสอบการถอดรหัสแล้ว พวกเขาจะได้รับที่อยู่ Bitcoin cryptowallet ที่ควรโอนค่าไถ่ Bitcoin เป็นสกุลเงินดิจิทัลที่ใช้กันทั่วไปในการโจมตีแรนซัมแวร์ เนื่องจากติดตามได้ยาก เมื่อชำระเงินแล้ว ผู้คุกคามจะส่งโปรแกรมถอดรหัสและคำแนะนำไปยังเหยื่อ ทำให้พวกเขาสามารถเข้าถึงไฟล์ที่เข้ารหัสของตนได้อีกครั้ง อย่างไรก็ตาม ไม่มีการรับประกันว่าผู้โจมตีจะทำตามสัญญาและจะช่วยเหลือผู้ที่ตกเป็นเหยื่อในการกู้คืนข้อมูลที่ล็อคไว้หลังจากที่รีดไถเงินพวกเขาไปแล้ว

ข้อความทั้งหมดของบันทึกเรียกค่าไถ่ของ Hairysquid Ransomware คือ:

แรนซั่มแวร์ที่เรียกว่า Hairysquid ทำงานโดยเข้ารหัสไฟล์และเพิ่มนามสกุล '.Hairysquid' ต่อท้ายชื่อไฟล์ของไฟล์ที่เข้ารหัส นอกเหนือจากการเข้ารหัสไฟล์แล้ว มัลแวร์ยังสร้างบันทึกเรียกค่าไถ่ที่บันทึกไว้ในอุปกรณ์ที่ถูกละเมิดเป็นไฟล์ชื่อ 'READ_ME_DECRYPTION_HAIRYSQUID.txt' Hairysquid เป็นตัวแปรใหม่ของ Mimic R nsomware

Hairysquid Ransomware ปิดการใช้งานฟังก์ชั่นสำคัญของคอมพิวเตอร์

Hairysquid Ransomware สามารถทำการเปลี่ยนแปลงที่สำคัญกับระบบของคอมพิวเตอร์ได้ หนึ่งในวิธีหลักในการดำเนินการนี้คือการแก้ไข Windows GroupPolicy ซึ่งมีหน้าที่กำหนดกฎและข้อจำกัดที่ควบคุมพฤติกรรมของคอมพิวเตอร์ โดยเฉพาะอย่างยิ่ง Hairysquid จะปิดใช้งานการป้องกันที่มีให้โดย Windows Defender ซึ่งเป็นคุณลักษณะด้านความปลอดภัยที่มีความสำคัญอย่างยิ่งต่อการทำงานของแรนซัมแวร์อย่างมีประสิทธิภาพ ซึ่งหมายความว่าเมื่อไม่มีการติดตั้งโปรแกรมป้องกันมัลแวร์ในคอมพิวเตอร์ Windows Defender จะเป็นด่านแรกของการป้องกันมัลแวร์ และการปิดใช้งานโปรแกรมนี้ Hairysquid จะตั้งหลักบนระบบได้

นอกจากนี้ Hairysquid ยังตัดการเชื่อมต่อระยะไกลที่ใช้งานอยู่ทั้งหมด ส่งผลให้ผู้ใช้ที่เชื่อมต่อสูญเสียการควบคุม ซึ่งหมายความว่าใครก็ตามที่เชื่อมต่อระยะไกลกับคอมพิวเตอร์ที่ได้รับผลกระทบจะไม่สามารถเข้าถึงได้อีกต่อไป นอกจากนี้ Hairysquid ยังยุติและปิดใช้งาน TaskManager ซึ่งเป็นยูทิลิตี้ Windows ในตัวที่ช่วยให้ผู้ใช้สามารถดูและจัดการโปรแกรมและกระบวนการที่ทำงานบนคอมพิวเตอร์ของตนได้ แรนซัมแวร์ยังปรับเปลี่ยนคีย์รีจิสทรี ซึ่งมีหน้าที่ควบคุมการทำงานของโปรแกรมและบริการต่างๆ เพื่อป้องกันไม่ให้ TaskManager เปิดใช้งานโดยสิ้นเชิง

นอกจากนี้ Hairysquid ยังป้องกันการลงชื่อออก รีสตาร์ท และปิดการทำงานบนอุปกรณ์ที่ถูกละเมิด ซึ่งหมายความว่าผู้ใช้ไม่สามารถออกจากระบบบัญชีของตน รีสตาร์ทหรือปิดเครื่องคอมพิวเตอร์ ทำให้หยุดกิจกรรมของแรนซัมแวร์ได้ยากขึ้น การปรับเปลี่ยนทั้งหมดเหล่านี้ทำให้ Hairysquid เป็นภัยคุกคามที่ร้ายกาจเป็นพิเศษ ซึ่งอาจเป็นเรื่องยากที่จะกำจัดเมื่อมันเข้าครอบครองระบบแล้ว

ผู้โจมตีที่อยู่เบื้องหลังแรนซัมแวร์ Hairysquid ทิ้งหมายเหตุค่าไถ่ความยาวไว้

เมื่อคอมพิวเตอร์ติดแฮรีสควิดแรนซัมแวร์ ข้อความเรียกค่าไถ่จะถูกทิ้งไว้เพื่อแจ้งให้เหยื่อทราบถึงสถานการณ์ บันทึกเรียกค่าไถ่ระบุว่าไฟล์ทั้งหมดในคอมพิวเตอร์ที่ติดไวรัสได้รับการเข้ารหัส ซึ่งหมายความว่าเหยื่อไม่สามารถเข้าถึงได้อีกต่อไปหากไม่มีคีย์ถอดรหัส จากนั้นบันทึกจะแจ้งให้เหยื่อทราบว่าพวกเขาต้องจ่ายเงินให้อาชญากรไซเบอร์สำหรับการถอดรหัสไฟล์ของพวกเขา นอกจากนี้ เหยื่อยังมีโอกาสทดสอบว่าผู้โจมตีสามารถถอดรหัสไฟล์ของตนได้หรือไม่ก่อนที่จะชำระเงิน

เพื่อให้แน่ใจว่ากระบวนการถอดรหัสจะทำงานได้ บันทึกเรียกค่าไถ่จะแนะนำให้เหยื่อส่ง ID เฉพาะที่มัลแวร์กำหนดให้กับพวกเขาพร้อมกับไฟล์สูงสุดสามไฟล์เพื่อทดสอบการถอดรหัส กระบวนการนี้ช่วยให้ผู้โจมตีสามารถแสดงให้เห็นว่าพวกเขามีความสามารถในการถอดรหัสไฟล์และสามารถเชื่อถือได้ในการส่งคีย์ถอดรหัสที่สัญญาไว้

บันทึกเรียกค่าไถ่มีตัวเลือกการติดต่อหลายทาง รวมถึง TOX messenger, ICQ messenger, Skype และอีเมล ตัวเลือกการติดต่อที่หลากหลายนี้ทำให้ผู้โจมตีสามารถสื่อสารกับเหยื่อด้วยวิธีที่สะดวกสำหรับพวกเขา

บันทึกค่าไถ่ยังแจ้งให้ผู้ที่ตกเป็นเหยื่อทราบว่าหลังจากทดสอบการถอดรหัสแล้ว พวกเขาจะได้รับที่อยู่ Bitcoin cryptowallet ที่ควรโอนค่าไถ่ Bitcoin เป็นสกุลเงินดิจิทัลที่ใช้กันทั่วไปในการโจมตีแรนซัมแวร์ เนื่องจากติดตามได้ยาก เมื่อชำระเงินแล้ว ผู้คุกคามจะส่งโปรแกรมถอดรหัสและคำแนะนำไปยังเหยื่อ ทำให้พวกเขาสามารถเข้าถึงไฟล์ที่เข้ารหัสของตนได้อีกครั้ง อย่างไรก็ตาม ไม่มีการรับประกันว่าผู้โจมตีจะทำตามสัญญาและจะช่วยเหลือผู้ที่ตกเป็นเหยื่อในการกู้คืนข้อมูลที่ล็อคไว้หลังจากที่รีดไถเงินพวกเขาไปแล้ว

ข้อความทั้งหมดของบันทึกเรียกค่าไถ่ของ Hairysquid Ransomware คือ:

'สวัสดี!
ไฟล์ทั้งหมดของคุณได้รับการเข้ารหัสด้วยไวรัสของเรา
ID เฉพาะของคุณ: -

คุณสามารถซื้อการถอดรหัสไฟล์ของคุณได้อย่างสมบูรณ์
แต่ก่อนที่คุณจะชำระเงิน คุณสามารถตรวจสอบให้แน่ใจว่าเราสามารถถอดรหัสไฟล์ใดๆ ของคุณได้จริงๆ
คีย์เข้ารหัสและ ID นั้นไม่ซ้ำกันสำหรับคอมพิวเตอร์ของคุณ ดังนั้นคุณจึงรับประกันได้ว่าจะสามารถส่งคืนไฟล์ของคุณได้

เพื่อทำสิ่งนี้:
1) ส่งรหัสเฉพาะของคุณ - และไฟล์สูงสุด 3 ไฟล์เพื่อทดสอบการถอดรหัส
ติดต่อเรา
1.1) TOX messenger (รวดเร็วและไม่เปิดเผยตัวตน)
hxxps://tox.chat/download.html
ติดตั้ง qtox
กดร้องเพลง
สร้างชื่อของคุณเอง
กดบวก
ใส่รหัสสารพิษของฉัน
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
และเพิ่มฉัน/เขียนข้อความ
1.2) ICQ เมสเซนเจอร์
ICQ แชทสดที่ทำงานตลอด 24 ชั่วโมงทุกวัน - @Hairysquid
ติดตั้งซอฟต์แวร์ ICQ บนพีซีของคุณที่นี่ hxxps://icq.com/windows/ หรือบนสมาร์ทโฟนของคุณค้นหา "ICQ" ใน Appstore / Google market
เขียนถึง ICQ ของเรา @Hairysquid hxxps://icq.im/Hairysquid
1.3) สไกป์
ถอดรหัส Hairysquid
1.4) จดหมาย (เขียนเฉพาะในสถานการณ์ที่สำคัญเนื่องจากอีเมลของคุณอาจไม่ถูกส่งหรือได้รับสแปม)

Hairysquid@onionmail.org

ในหัวเรื่องโปรดเขียนรหัสถอดรหัสของคุณ: -

หลังจากถอดรหัส เราจะส่งไฟล์ที่ถอดรหัสและกระเป๋าเงิน bitcoin เฉพาะสำหรับการชำระเงินให้คุณ
หลังจากชำระค่าไถ่ Bitcoin เราจะส่งโปรแกรมถอดรหัสและคำแนะนำให้คุณ หากเราสามารถถอดรหัสไฟล์ของคุณได้ เราไม่มีเหตุผลที่จะหลอกลวงคุณหลังจากชำระเงิน

คำถามที่พบบ่อย:
ฉันสามารถรับส่วนลดได้หรือไม่?
ไม่ จำนวนเงินค่าไถ่จะคำนวณตามจำนวนไฟล์สำนักงานที่เข้ารหัสและไม่ได้ให้ส่วนลด ข้อความดังกล่าวทั้งหมดจะถูกละเว้นโดยอัตโนมัติ หากคุณต้องการไฟล์บางไฟล์จริงๆ ให้ซิปไฟล์แล้วอัปโหลดไว้ที่ใดที่หนึ่ง เราจะถอดรหัสให้ฟรีเพื่อเป็นหลักฐาน
Bitcoin คืออะไร?
อ่าน bitcoin.org
จะซื้อ bitcoins ได้ที่ไหน?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (วิธีที่เร็วที่สุด)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
ไบแนนซ์.คอม
หรือใช้ google.com เพื่อหาข้อมูลว่าจะซื้อได้ที่ไหน
การรับประกันว่าฉันจะได้รับไฟล์คืนอยู่ที่ไหน
ความจริงที่ว่าเราสามารถถอดรหัสไฟล์สุ่มของคุณได้นั้นรับประกันได้ มันไม่มีเหตุผลที่เราจะหลอกลวงคุณ
ฉันจะได้รับรหัสและโปรแกรมถอดรหัสหลังจากชำระเงินได้เร็วแค่ไหน?
ตามกฎแล้วในช่วง 15 นาที
โปรแกรมถอดรหัสทำงานอย่างไร?
มันง่าย คุณต้องเรียกใช้ซอฟต์แวร์ของเรา โปรแกรมจะถอดรหัสไฟล์ที่เข้ารหัสทั้งหมดบน HDD ของคุณโดยอัตโนมัติ'

มาแรง

ติดตามคลิกคริสตัล

Browser Hijackers
ในภูมิทัศน์ดิจิทัลอันกว้างใหญ่ แอปพลิเคชั่นที่น่ารำคาญชื่อ Click Crystal ได้เกิดขึ้น สร้างความปั่นป่วนให้กับผู้ใช้อินเทอร์เน็ตด้วยการโจมตีของโฆษณาออนไลน์ในรูปแบบของป๊อปอัป แบนเนอร์...

เข้าชมมากที่สุด

Lookmovie.io ปลอดภัยหรือไม่? สกรีนช็อต

Lookmovie.io ปลอดภัยหรือไม่?

Issue
29,393
Lookmovie.io เป็นเว็บไซต์สตรีมมิ่งวิดีโอ ปัญหาคือมีการนำเสนอเนื้อหาสำหรับการสตรีมอย่างผิดกฎหมาย นอกจากนี้ ไซต์ดังกล่าวยังสร้างรายได้จากเครือข่ายโฆษณาอันธพาลอีกด้วย ด้วยเหตุนี้...

'Geek Squad' อีเมลหลอกลวง

Phishing, Spam
15,882
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล เช่น รายละเอียดบัตรเครดิต ที่อยู่อีเมล และแม้แต่หมายเลขประกันสังคม ในบทความนี้ เราจะพูดถึงตัวการหลอกลวง หน้าตาเป็นอย่างไร อีเมลปลอมมาจากไหน ผู้หลอกลวงต้องการอะไร...
กำลังโหลด...