Програма-вимагач Hairysquid
Програма-вимагач, відома як Hairysquid, працює шляхом шифрування файлів і додавання розширення «.Hairysquid» у кінці імен зашифрованих файлів. Окрім шифрування файлів, зловмисне програмне забезпечення також створює повідомлення про викуп, яке зберігається на зламаних пристроях у вигляді файлу під назвою «READ_ME_DECRYPTION_HAIRYSQUID.txt». Hairysquid — це новий варіант програми-вимагача Mimic.
Зміст
Програма-вимагач Hairysquid вимикає важливі функції комп’ютера
Програма-вимагач Hairysquid здатна вносити значні зміни в систему комп’ютера. Одним із основних способів це зробити є зміна групової політики Windows, яка відповідає за встановлення правил і обмежень, що керують поведінкою комп’ютера. Зокрема, Hairysquid вимикає захист, який пропонує Windows Defender, функція безпеки, яка є надзвичайно важливою для ефективної роботи програми-вимагача. Це означає, що коли на комп’ютері не встановлено програму захисту від зловмисного програмного забезпечення, Windows Defender зазвичай є першою лінією захисту від зловмисного програмного забезпечення, і, вимкнувши його, Hairysquid закріплюється в системі.
Крім того, Hairysquid розриває всі активні віддалені підключення, що призводить до втрати контролю для підключених користувачів. Це означає, що будь-який віддалено підключений до ураженого комп’ютера більше не матиме до нього доступу. Hairysquid також припиняє та деактивує TaskManager, вбудовану утиліту Windows, яка дозволяє користувачам переглядати та керувати програмами та процесами, запущеними на їхньому комп’ютері. Програма-вимагач також змінює ключ реєстру, який відповідає за керування поведінкою різних програм і служб, щоб повністю запобігти активації TaskManager.
Крім того, Hairysquid запобігає виходу, перезапуску та завершенню роботи на зламаних пристроях. Це означає, що користувачі не можуть вийти зі своїх облікових записів, перезавантажити чи вимкнути комп’ютери, що ускладнює зупинку діяльності програми-вимагача. Усі ці модифікації роблять Hairysquid особливо підступною загрозою, яку може бути складно видалити, коли вона захопила систему.
Зловмисники, які стоять за програмою-вимагачем Hairysquid, залишають тривалу записку про викуп
Коли комп’ютер заражається програмою-вимагачем Hairysquid, жертві залишається повідомлення про викуп, щоб повідомити про ситуацію. У записці про викуп зазначено, що всі файли на зараженому комп’ютері були зашифровані, що означає, що вони більше не доступні для жертви без ключа дешифрування. Потім у записці повідомляється, що жертви мають заплатити кіберзлочинцям за розшифровку їхніх файлів. Крім того, жертвам надається можливість перевірити, чи можуть зловмисники розшифрувати їхні файли, перш ніж платити.
Щоб переконатися, що процес розшифровки спрацює, у записці про викуп жертвам пропонується надіслати конкретний ідентифікатор, призначений їм зловмисним програмним забезпеченням, разом із трьома файлами для тестового розшифрування. Цей процес дозволяє зловмисникам продемонструвати, що вони мають можливість розшифрувати файли, і їм можна довіряти надання обіцяного ключа розшифровки.
Записка про викуп надає кілька варіантів зв’язку, включаючи месенджер TOX, месенджер ICQ, Skype та електронну пошту. Така різноманітність варіантів контакту дозволяє зловмисникам спілкуватися з жертвою зручним для них способом.
Записка про викуп також повідомляє жертвам, що після тестового розшифрування вони отримають адресу криптовалютного гаманця Bitcoin, на яку слід перерахувати викуп. Біткойн — це криптовалюта, яка зазвичай використовується в атаках програм-вимагачів, оскільки її важко відстежити. Після здійснення платежу зловмисники надішлють програму розшифровки та інструкції жертві, що дозволить їй відновити доступ до своїх зашифрованих файлів. Однак немає жодної гарантії, що зловмисники виконають свої обіцянки та дійсно допоможуть жертвам відновити заблоковані дані після того, як вони вже вимагали від них гроші.
Повний текст повідомлення Hairysquid Ransomware про викуп такий:
Програма-вимагач, відома як Hairysquid, працює шляхом шифрування файлів і додавання розширення «.Hairysquid» у кінці імен зашифрованих файлів. Окрім шифрування файлів, зловмисне програмне забезпечення також створює повідомлення про викуп, яке зберігається на зламаних пристроях у вигляді файлу під назвою «READ_ME_DECRYPTION_HAIRYSQUID.txt». Hairysquid — це новий варіант програмного забезпечення Mimic R nsomware .
Програма-вимагач Hairysquid вимикає основні функції комп’ютера
Програма-вимагач Hairysquid здатна вносити значні зміни в систему комп’ютера. Одним із основних способів це зробити є зміна групової політики Windows, яка відповідає за встановлення правил і обмежень, що керують поведінкою комп’ютера. Зокрема, Hairysquid вимикає захист, який пропонує Windows Defender, функція безпеки, яка є надзвичайно важливою для ефективної роботи програми-вимагача. Це означає, що коли на комп’ютері не встановлено програму захисту від зловмисного програмного забезпечення, Windows Defender зазвичай є першою лінією захисту від зловмисного програмного забезпечення, і, вимкнувши його, Hairysquid закріплюється в системі.
Крім того, Hairysquid розриває всі активні віддалені підключення, що призводить до втрати контролю для підключених користувачів. Це означає, що будь-який віддалено підключений до ураженого комп’ютера більше не матиме до нього доступу. Hairysquid також припиняє та деактивує TaskManager, вбудовану утиліту Windows, яка дозволяє користувачам переглядати та керувати програмами та процесами, запущеними на їхньому комп’ютері. Програма-вимагач також змінює ключ реєстру, який відповідає за керування поведінкою різних програм і служб, щоб повністю запобігти активації TaskManager.
Крім того, Hairysquid запобігає виходу, перезапуску та завершенню роботи на зламаних пристроях. Це означає, що користувачі не можуть вийти зі своїх облікових записів, перезавантажити чи вимкнути комп’ютери, що ускладнює зупинку діяльності програми-вимагача. Усі ці модифікації роблять Hairysquid особливо підступною загрозою, яку може бути складно видалити, коли вона захопила систему.
Зловмисники, які стоять за програмою-вимагачем Hairysquid, залишають довгу записку про викуп
Коли комп’ютер заражається програмою-вимагачем Hairysquid, жертві залишається повідомлення про викуп, щоб повідомити про ситуацію. У записці про викуп зазначено, що всі файли на зараженому комп’ютері були зашифровані, що означає, що вони більше не доступні для жертви без ключа дешифрування. Потім у записці повідомляється, що жертви мають заплатити кіберзлочинцям за розшифровку їхніх файлів. Крім того, жертвам надається можливість перевірити, чи можуть зловмисники розшифрувати їхні файли, перш ніж платити.
Щоб переконатися, що процес розшифровки спрацює, у записці про викуп жертвам пропонується надіслати конкретний ідентифікатор, призначений їм зловмисним програмним забезпеченням, разом із трьома файлами для тестового розшифрування. Цей процес дозволяє зловмисникам продемонструвати, що вони мають можливість розшифрувати файли, і їм можна довіряти надання обіцяного ключа розшифровки.
Записка про викуп надає кілька варіантів зв’язку, включаючи месенджер TOX, месенджер ICQ, Skype та електронну пошту. Така різноманітність варіантів контакту дозволяє зловмисникам спілкуватися з жертвою зручним для них способом.
Записка про викуп також повідомляє жертвам, що після тестового розшифрування вони отримають адресу криптовалютного гаманця Bitcoin, на яку слід перерахувати викуп. Біткойн — це криптовалюта, яка зазвичай використовується в атаках програм-вимагачів, оскільки її важко відстежити. Після здійснення платежу зловмисники надішлють програму розшифровки та інструкції жертві, що дозволить їй відновити доступ до своїх зашифрованих файлів. Однак немає жодної гарантії, що зловмисники виконають свої обіцянки та дійсно допоможуть жертвам відновити заблоковані дані після того, як вони вже вимагали від них гроші.
Повний текст повідомлення Hairysquid Ransomware про викуп такий:
'Привіт!
Усі ваші файли були зашифровані нашим вірусом.
Ваш унікальний ID: -Ви можете придбати повне розшифрування ваших файлів
Але перш ніж платити, ви можете переконатися, що ми дійсно можемо розшифрувати будь-які ваші файли.
Ключ шифрування та ідентифікатор унікальні для вашого комп’ютера, тому ви гарантовано зможете повернути свої файли.Зробити це:
1) Надішліть свій унікальний ідентифікатор і максимум 3 файли для тестового розшифрування
НАШІ КОНТАКТИ
1.1) Месенджер TOX (швидкий і анонімний)
hxxps://tox.chat/download.html
Встановіть qtox
натисніть співати
створити власне ім'я
Натисніть плюс
Додайте туди мій токсикологічний ідентифікатор
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
І додайте мене/напишіть повідомлення
1.2) ICQ Messenger
Живий чат ICQ, який працює 24/7 - @Hairysquid
Встановіть програмне забезпечення ICQ на свій комп’ютер тут hxxps://icq.com/windows/ або знайдіть на своєму смартфоні «ICQ» у Appstore/Google market
Напишіть в нашу ICQ @Hairysquid hxxps://icq.im/Hairysquid
1.3) Skype
Розшифровка Hairysquid
1.4) Пошта (пишіть лише в критичних ситуаціях, оскільки ваш лист може не бути доставленим або потрапити в спам)Hairysquid@onionmail.org
У рядку теми напишіть свій ідентифікатор розшифровки: -
Після розшифровки ми надішлемо вам розшифровані файли та унікальний біткоін-гаманець для оплати.
Після оплати викупу за біткоіни ми надішлемо вам програму дешифрування та інструкції. Якщо ми зможемо розшифрувати ваші файли, у нас немає причин обманювати вас після оплати.FAQ:
Чи можу я отримати знижку?
Ні. Сума викупу розраховується на основі кількості зашифрованих офісних файлів і знижки не надаються. Усі такі повідомлення автоматично ігноруватимуться. Якщо вам дійсно потрібні лише деякі файли, заархівуйте їх і завантажте кудись. Ми розшифруємо їх безкоштовно як доказ.
Що таке Bitcoin?
читайте bitcoin.org
Де купити біткоіни?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (найшвидший спосіб)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
або скористайтеся google.com, щоб знайти інформацію, де його купити
Де гарантія, що я отримаю свої файли назад?
Сам факт того, що ми можемо розшифрувати ваші випадкові файли, є гарантією. Нам немає сенсу вас обманювати.
Як швидко я отримаю ключ і програму дешифрування після оплати?
Як правило, протягом 15 хв
Як працює програма дешифрування?
Це просто. Вам потрібно запустити наше програмне забезпечення. Програма автоматично розшифрує всі зашифровані файли на вашому жорсткому диску.
