Hitobito Ransomware

Дослідники кібербезпеки виявили нову загрозу програмного забезпечення-вимагача під назвою Hitobito. Це загрозливе програмне забезпечення шифрує файли на заражених пристроях, роблячи їх недоступними для користувача. Згодом зловмисники вимагають від жертв оплату в обмін на нібито розшифровку вражених даних. Після активації Hitobito додає розширення «.hitobito» до оригінальних імен зашифрованих файлів. Наприклад, файл із назвою «1.png» відображатиметься як «1.jpg.hitobito», а «2.pdf» — як «2.pdf.hitobito» і так далі для всіх заблокованих файлів.

Після процесу шифрування Hitobito відображає повідомлення про викуп у спливаючому вікні та створює інше в текстовому файлі під назвою «KageNoHitobito_ReadMe.txt». Обидва повідомлення мають ідентичний зміст. Важливо, що було встановлено, що виявлену версію програми-вимагача Hitobito можна розшифрувати, не вимагаючи від жертви взаємодії зі зловмисниками.

Hitobito намагається вимагати своїх жертв, беручи дані в заручники

Записки Hitobito про викуп інформують жертв про те, що їхні дані зашифровано, спонукаючи їх спілкуватися зі зловмисниками через чат на веб-сайті мережі Tor, щоб домовитися про ціну розшифровки. Однак для тих, хто постраждав від Hitobito, є срібна підкладка – це програмне забезпечення-вимагач розшифровується. Пароль або ключ для розшифровки – «Password123» (без лапок).

Однак, хоча зараз Hitobito можна розшифрувати, майбутні ітерації цього зловмисного програмного забезпечення можуть мати інші ключі відновлення. Програми-вимагачі зазвичай використовують надійні криптографічні алгоритми та унікальні ключі, що робить дешифрування без участі зловмисників рідкістю.

Крім того, жертви не завжди можуть отримати обіцяні ключі відновлення або програмне забезпечення навіть після задоволення вимог викупу. Це підкреслює ризик, пов’язаний зі сплатою викупу, оскільки він не тільки не гарантує розшифрування файлів, але й підтримує злочинну діяльність.

Щоб запобігти подальшому шифруванню даних програмами-вимагачами, такими як Hitobito, важливо видалити зловмисне програмне забезпечення з операційної системи. Однак важливо розуміти, що видалення програми-вимагача не призведе до відновлення файлів, які вже були зламані.

Заходи безпеки, які допоможуть вам краще захистити ваші дані та пристрої від загроз програм-вимагачів

Реалізація багаторівневого підходу до безпеки є важливою для кращого захисту даних і пристроїв від загроз програм-вимагачів. Ось кілька основних заходів безпеки:

• Послідовне оновлення програмного забезпечення та керування виправленнями : переконайтеся, що всі операційні системи, програмні додатки та програми безпеки систематично оновлюються найновішими виправленнями безпеки. Застаріле програмне забезпечення, яке має вразливості, може бути використано зловмисниками.
• Використання програмного забезпечення для захисту від зловмисного програмного забезпечення : установіть на всі пристрої перевірене програмне забезпечення для захисту від зловмисного програмного забезпечення та оновлюйте його. Ці програми можуть допомогти виявити та запобігти зараженню програмами-вимагачами до того, як вони завдадуть шкоди.

• Захист брандмауером : увімкніть брандмауери на всіх пристроях і мережах для моніторингу та контролю вхідного та вихідного трафіку. Брандмауери можуть допомогти блокувати доступ програм-вимагачів до пристроїв і поширення в мережах.

• Навчання та обізнаність співробітників : розкажіть співробітникам про ризики програм-вимагачів і навчіть їх виявляти підозрілі електронні листи, посилання та вкладення. Проводьте регулярні тренінги з питань безпеки, щоб сприяти безпечним комп’ютерним практикам.

• Контроль доступу та найменші привілеї : обмежте привілеї та права доступу користувачів лише тими, що необхідні для їхніх ролей. Посилити принцип найменших привілеїв, щоб мінімізувати вплив атак програм-вимагачів, обмеживши доступ до конфіденційних даних і критичних систем.

• Резервне копіювання даних : Регулярно створюйте резервні копії даних у автономному або хмарному режимі резервного копіювання. Переконайтеся, що резервні копії зашифровані, регулярно перевіряються на надійність і надійно зберігаються.

• Сегментація мережі : сегментуйте мережі, щоб відокремити критичні системи та приватні дані від інших частин мережі. Це може допомогти зупинити поширення програм-вимагачів і обмежити шкоду, спричинену інфекцією.

Запроваджуючи ці заходи безпеки, організації можуть краще захистити свої дані та пристрої від загроз програм-вимагачів і зменшити ризик стати жертвою цих згубних атак.

Вимога викупу, надіслана жертвам програми-вимагача Hitobito, говорить:

'Ooops, your files have been encrypted by Kage No Hitobito Group!

All your important files and documents have been encrypted by us.

Step 1:
On your current desktop, open up your default browser.
Search for Tor Browser or visit hxxps://www.torproject.org/
If you cannot access Tor then use a VPN to get it instead.
Then download to the Tor Browser and follow Step 2.

Step 2:
Navigate to the group chat and select 'Hitobito' from the username list.
Message with your situation and the price you are willing to pay for your files.
hxxp://notbumpz34bgbz4yfdigxvd6vzwtxc3zpt5imukgl6bvip2nikdmdaad.onion/chat/
If you do not know how to private messasge, ask the chat, they are usually friendly.
Though we advise you not to click links or follow any discussion they talk of.

Step 3: This is the important part, the one where you restore your computer quickly.
If you negotiate correctly and pay our ransom, we will send you a decryptor.
Reminder that 'Hitobito' can be impersonated or be one of several group members.'