HuiVJope Ransomware
Серед останніх доповнень щодо сценарію програм-вимагачів – програма-вимагач HuiVJope, загрозливий варіант, що належить до сумнозвісної родини програм-вимагачів Phobos . HuiVJope відрізняється тим, що до зашифрованих файлів жертви додає унікальне розширення файлу, як правило, у форматі «.HuiVJope», за яким слідує змінний номер. Це налаштування ускладнює процес відновлення файлів, оскільки жертви залишаються безпомилковим маркером компрометації.
Зміст
Записка про викуп і канали зв’язку
Після успішного шифрування файлів HuiVJope надсилає повідомлення про викуп під назвою «info.txt» або «info.hta», у якому викладаються умови отримання даних і оплати. Зловмисники надають контактну інформацію для спілкування, використовуючи дескриптор Telegram «@GROUNDINGCONDUCTOR» і електронну адресу «huivjope@tutanota.com». Ці канали служать для жертв основним засобом домовитися про викуп і потенційно відновити доступ до зламаних даних.
HuiVJope використовує багатогранний підхід, щоб пошкодити захист цільової системи. Програма-вимагач призначена для вимкнення брандмауера, критичного компонента інфраструктури безпеки системи. Нейтралізуючи цей основний захисний механізм, HuiVJope забезпечує більш плавний процес проникнення та виконання.
Усунення шляхів відновлення даних
Щоб максимізувати вплив своєї атаки, HuiVJope вживає стратегічних заходів для усунення потенційних шляхів відновлення даних. Програма-вимагач націлена на тіньові копії томів, функцію, яка дозволяє користувачам відновлювати попередні версії файлів. Знищуючи ці тіньові копії, HuiVJope посилює контроль над даними жертви, залишаючи їм обмежені можливості для отримання.
Використання вразливостей у протоколі віддаленого робочого столу (RDP)
HuiVJope особливо вправно використовує вразливості в службах протоколу віддаленого робочого столу (RDP), стандартному методі доступу до віддалених систем і керування ними. Програма-вимагач отримує неавторизований доступ, використовуючи грубу силу та словникові атаки на погано керовані облікові дані, пов’язані зі службами RDP. Цей метод дозволяє HuiVJope проникати в системи та розпочинати руйнівний процес шифрування.
Механізми стійкості та збір даних
Окрім негайного впливу, HuiVJope має механізми для збереження в зараженій системі, забезпечуючи тривалу присутність. Ця стійкість дозволяє програмі-вимагачу зберігати контроль над скомпрометованою системою та потенційно запускати наступні атаки. Крім того, HuiVJope зосереджений не лише на шифруванні; він також демонструє можливості збору даних. Програма-вимагач має здатність збирати дані про місцезнаходження, потенційно дозволяючи зловмисникам націлюватися на певні географічні регіони. Примітно, що він може виключати попередньо визначені місця зі збору даних, що свідчить про рівень складності його стратегії націлювання.
Поява програми-вимагача HuiVJope підкреслює прогресивний і складний характер кіберзагроз. Організації та окремі особи повинні надавати пріоритет надійним заходам кібербезпеки, зокрема регулярним оновленням програмного забезпечення, політикам надійних паролів та інформації співробітникам про тактику фішингу та соціальної інженерії. Крім того, збереження офлайн-резервних копій залишається важливим захистом від зростаючої загрози атак програм-вимагачів. Оскільки ландшафт кібербезпеки продовжує розвиватися, проактивний і багаторівневий підхід захисту є важливим для пом’якшення ризиків, створених такими загрозливими суб’єктами, як HuiVJope.
Ось повідомлення про викуп HuiVJope Ransomware:
'!! УВАГА !!!
Вашу мережу зламано, а файли зашифровано.
Крім зашифрованих даних ми також завантажили іншу конфіденційну інформацію: дані ваших співробітників, клієнтів, партнерів, а також бухгалтерську та іншу внутрішню документацію вашої компанії.
Про дані
Усі дані зберігаються до моменту оплати.
Після оплати ми надамо вам програми для дешифрування та видалимо ваші дані
Ми не хочемо зробити щось погане вашій компанії, це просто бізнес (Наша репутація - наші гроші!)
Якщо ви відмовитесь від переговорів з нами (з будь-якої причини), усі ваші дані будуть виставлені на продаж.
З чим ви зіткнетеся, якщо ваші дані потраплять на чорний ринок:
Особиста інформація ваших співробітників і клієнтів може бути використана для отримання кредиту або покупок в інтернет-магазинах.
Клієнти вашої компанії можуть подати на вас до суду за витік інформації, яка була конфіденційною.
Після того, як інші хакери отримають особисті дані про ваших співробітників, соціальна інженерія буде застосована до вашої компанії, і наступні атаки тільки посиляться.
Банківські реквізити та паспорти можна використовувати для створення банківських рахунків та онлайн-гаманців, через які будуть відмиватися злочинні гроші.
Ви назавжди втратите репутацію.
Ви будете піддані величезним штрафам від уряду.
Ви можете дізнатися більше про відповідальність за втрату даних тут: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationабо тут hxxps://gdpr-info.eu
Суди, штрафи і неможливість користуватися важливими файлами приведуть вас до величезних збитків. Наслідки цього для вас будуть незворотними.
Звернення до поліції не врятує вас від цих наслідків, а втрата даних лише погіршить вашу ситуацію.
Як з нами зв'язатися
Напишіть нам на пошту: HuiVJope@tutanota.com
Ви можете зв'язатися з нашим онлайн оператором в телеграм: @GROUNDINGCONDUCTOR (БУДЬТЕ ОБЕРЕЖНІ ЩОДО ФЕЙКІВ)
Завантажте (Session) месенджер hxxps://getsession.org у месенджері: ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Напишіть цей ідентифікатор у заголовку свого повідомлення 9ECFA84E-3511
ЯКЩО ВИ ЗВ'ЯЖЕТЕСЯ З НАМИ ПРОТЯГОМ ПЕРШИХ 6 годин, і ми закриємо нашу угоду протягом 24 годин, ЦІНА СТАНЕ ЛИШЕ 30%.
(час – це гроші для нас обох, якщо ви подбаєте про наш час, ми зробимо те саме, ми подбаємо про ціну, а процес розшифровки буде виконано ДУЖЕ ШВИДКО)
УСІ ЗАВАНТАЖЕНІ ДАНІ БУДУТЬ ВИДАЛЕНІ після оплати.
Що не можна робити та рекомендація
З цієї ситуації можна вийти з мінімальними втратами (Наша репутація - наші гроші!) !!! Для цього необхідно суворо дотримуватися наступних правил:
НЕ Змінюйте, НЕ перейменовуйте, НЕ копіюйте, НЕ переміщуйте жодних файлів. Такі дії можуть ПОШКОДИТИ їх і розшифрувати їх буде неможливо.
НЕ використовуйте програмне забезпечення для дешифрування сторонніх розробників або загальнодоступне програмне забезпечення, воно також може ПОШКОДИТИ файли.
НЕ Вимикайте та не перезавантажуйте систему, це може ПОШКОДИТИ файли.
НЕ наймайте сторонніх переговорників (відновлення/поліція тощо). Вам потрібно зв’язатися з нами якнайшвидше та почати переговори.
Ви можете надіслати нам 1-2 файли невеликих даних для перевірки, ми розшифруємо їх і надішлемо вам назад.
Після оплати нам потрібно не більше 2 годин, щоб розшифрувати всі ваші дані. Ми будемо підтримувати вас до повного розшифрування! ! ! (Наша репутація - це наші гроші!)'
