Ransomware lông mực
Phần mềm tống tiền có tên Hairysquid hoạt động bằng cách mã hóa các tệp và thêm phần mở rộng '.Hairysquid' vào cuối tên tệp của các tệp được mã hóa. Ngoài việc mã hóa tệp, phần mềm độc hại còn tạo ghi chú đòi tiền chuộc được lưu trên các thiết bị bị vi phạm dưới dạng tệp có tên 'READ_ME_DECRYPTION_HAIRYSQUID.txt.' Hairysquid là một biến thể mới của ransomware Mimic.
Mục lục
Hairysquid Ransomware vô hiệu hóa các chức năng máy tính quan trọng
Hairysquid Ransomware có khả năng tạo ra những thay đổi đáng kể đối với hệ thống của máy tính. Một trong những cách chính để thực hiện điều này là bằng cách thay đổi Chính sách nhóm của Windows, chính sách này chịu trách nhiệm thiết lập các quy tắc và hạn chế chi phối hành vi của máy tính. Cụ thể, Hairysquid hủy kích hoạt tính năng bảo vệ do Windows Defender cung cấp, một tính năng bảo mật rất quan trọng để phần mềm tống tiền hoạt động hiệu quả. Điều này có nghĩa là khi không có chương trình chống phần mềm độc hại nào được cài đặt trên máy tính, Bộ bảo vệ Windows thường là tuyến phòng thủ đầu tiên chống lại phần mềm độc hại và bằng cách vô hiệu hóa chương trình này, Hairysquid sẽ giành được chỗ đứng trên hệ thống.
Ngoài ra, Hairysquid cắt đứt tất cả các kết nối từ xa đang hoạt động, dẫn đến việc người dùng được kết nối mất quyền kiểm soát. Điều này có nghĩa là bất kỳ ai được kết nối từ xa với máy tính bị ảnh hưởng sẽ không còn quyền truy cập vào máy tính đó nữa. Hairysquid cũng chấm dứt và hủy kích hoạt Trình quản lý tác vụ, một tiện ích Windows tích hợp sẵn cho phép người dùng xem và quản lý các chương trình cũng như quy trình đang chạy trên máy tính của họ. Phần mềm tống tiền cũng sửa đổi khóa đăng ký, chịu trách nhiệm kiểm soát hành vi của các chương trình và dịch vụ khác nhau, để ngăn chặn hoàn toàn Trình quản lý tác vụ được kích hoạt.
Hơn nữa, Hairysquid ngăn chặn các chức năng đăng xuất, khởi động lại và tắt máy trên các thiết bị bị vi phạm. Điều này có nghĩa là người dùng không thể đăng xuất khỏi tài khoản, khởi động lại hoặc tắt máy tính của họ, khiến việc ngăn chặn các hoạt động của ransomware trở nên khó khăn hơn. Tất cả những sửa đổi này làm cho Hairysquid trở thành một mối đe dọa đặc biệt ngấm ngầm có thể khó loại bỏ một khi nó đã chiếm được hệ thống.
Những kẻ tấn công đằng sau Hairysquid Ransomware để lại một ghi chú đòi tiền chuộc dài
Khi một máy tính bị nhiễm mã độc tống tiền Hairysquid, một thông báo đòi tiền chuộc sẽ được để lại để thông báo cho nạn nhân về tình huống này. Lưu ý đòi tiền chuộc nói rằng tất cả các tệp trên máy tính bị nhiễm đã được mã hóa, điều đó có nghĩa là nạn nhân không thể truy cập chúng nếu không có khóa giải mã. Sau đó, ghi chú thông báo cho nạn nhân rằng họ phải trả tiền cho tội phạm mạng để giải mã các tệp của họ. Ngoài ra, nạn nhân có cơ hội kiểm tra xem những kẻ tấn công có thể giải mã tệp của họ hay không trước khi trả tiền.
Để đảm bảo rằng quá trình giải mã sẽ hoạt động, thông báo đòi tiền chuộc sẽ hướng dẫn nạn nhân gửi ID cụ thể do phần mềm độc hại gán cho họ cùng với tối đa ba tệp để giải mã thử nghiệm. Quá trình này cho phép những kẻ tấn công chứng minh rằng chúng có khả năng giải mã các tệp và có thể được tin cậy để cung cấp khóa giải mã đã hứa.
Ghi chú đòi tiền chuộc cung cấp nhiều tùy chọn liên hệ, bao gồm trình nhắn tin TOX, trình nhắn tin ICQ, Skype và email. Nhiều tùy chọn liên hệ này cho phép kẻ tấn công giao tiếp với nạn nhân theo cách thuận tiện cho chúng.
Lưu ý về tiền chuộc cũng thông báo cho các nạn nhân rằng sau khi giải mã thử nghiệm, họ sẽ nhận được một địa chỉ ví tiền điện tử Bitcoin mà tiền chuộc sẽ được chuyển đến. Bitcoin là một loại tiền điện tử thường được sử dụng trong các cuộc tấn công ransomware vì rất khó theo dõi. Sau khi thanh toán được thực hiện, các tác nhân đe dọa sẽ gửi chương trình giải mã và hướng dẫn cho nạn nhân, cho phép họ lấy lại quyền truy cập vào các tệp được mã hóa của mình. Tuy nhiên, không có gì đảm bảo rằng những kẻ tấn công sẽ thực hiện đúng lời hứa của chúng và sẽ thực sự hỗ trợ nạn nhân khôi phục dữ liệu bị khóa sau khi đã tống tiền họ.
Toàn văn thông báo đòi tiền chuộc của Hairysquid Ransomware là:
Phần mềm tống tiền có tên Hairysquid hoạt động bằng cách mã hóa các tệp và thêm phần mở rộng '.Hairysquid' vào cuối tên tệp của các tệp được mã hóa. Ngoài việc mã hóa tệp, phần mềm độc hại còn tạo ghi chú đòi tiền chuộc được lưu trên các thiết bị bị vi phạm dưới dạng tệp có tên 'READ_ME_DECRYPTION_HAIRYSQUID.txt.' Hairysquid là một biến thể mới của nsomware Mimic R.
Hairysquid Ransomware vô hiệu hóa các chức năng máy tính cần thiết
Hairysquid Ransomware có khả năng tạo ra những thay đổi đáng kể đối với hệ thống của máy tính. Một trong những cách chính để thực hiện điều này là bằng cách thay đổi Windows GroupPolicy, chính sách này chịu trách nhiệm thiết lập các quy tắc và hạn chế chi phối hành vi của máy tính. Cụ thể, Hairysquid hủy kích hoạt tính năng bảo vệ do Windows Defender cung cấp, một tính năng bảo mật rất quan trọng để phần mềm tống tiền hoạt động hiệu quả. Điều này có nghĩa là khi không có chương trình chống phần mềm độc hại nào được cài đặt trên máy tính, Bộ bảo vệ Windows thường là tuyến phòng thủ đầu tiên chống lại phần mềm độc hại và bằng cách vô hiệu hóa chương trình này, Hairysquid sẽ giành được chỗ đứng trên hệ thống.
Ngoài ra, Hairysquid cắt đứt tất cả các kết nối từ xa đang hoạt động, dẫn đến việc người dùng được kết nối mất quyền kiểm soát. Điều này có nghĩa là bất kỳ ai được kết nối từ xa với máy tính bị ảnh hưởng sẽ không còn quyền truy cập vào máy tính đó nữa. Hairysquid cũng chấm dứt và hủy kích hoạt Trình quản lý tác vụ, một tiện ích Windows tích hợp sẵn cho phép người dùng xem và quản lý các chương trình cũng như quy trình đang chạy trên máy tính của họ. Phần mềm tống tiền cũng sửa đổi khoá đăng ký chịu trách nhiệm kiểm soát hành vi của các chương trình và dịch vụ khác nhau để ngăn chặn hoàn toàn Trình quản lý tác vụ được kích hoạt.
Hơn nữa, Hairysquid ngăn chặn các chức năng đăng xuất, khởi động lại và tắt máy trên các thiết bị bị vi phạm. Điều này có nghĩa là người dùng không thể đăng xuất khỏi tài khoản, khởi động lại hoặc tắt máy tính của họ, khiến việc ngăn chặn các hoạt động của ransomware trở nên khó khăn hơn. Tất cả những sửa đổi này làm cho Hairysquid trở thành một mối đe dọa đặc biệt ngấm ngầm có thể khó loại bỏ một khi nó đã chiếm được hệ thống.
Những kẻ tấn công đằng sau phần mềm tống tiền Hairysquid để lại một ghi chú đòi tiền chuộc dài
Khi một máy tính bị nhiễm mã độc tống tiền Hairysquid, một thông báo đòi tiền chuộc sẽ được để lại để thông báo cho nạn nhân về tình huống này. Lưu ý đòi tiền chuộc nói rằng tất cả các tệp trên máy tính bị nhiễm đã được mã hóa, điều đó có nghĩa là nạn nhân không thể truy cập chúng nếu không có khóa giải mã. Sau đó, ghi chú thông báo cho nạn nhân rằng họ phải trả tiền cho tội phạm mạng để giải mã các tệp của họ. Ngoài ra, nạn nhân có cơ hội kiểm tra xem những kẻ tấn công có thể giải mã tệp của họ hay không trước khi trả tiền.
Để đảm bảo rằng quá trình giải mã sẽ hoạt động, thông báo đòi tiền chuộc sẽ hướng dẫn nạn nhân gửi ID cụ thể do phần mềm độc hại gán cho họ cùng với tối đa ba tệp để giải mã thử nghiệm. Quá trình này cho phép những kẻ tấn công chứng minh rằng chúng có khả năng giải mã các tệp và có thể được tin cậy để cung cấp khóa giải mã đã hứa.
Ghi chú đòi tiền chuộc cung cấp nhiều tùy chọn liên hệ, bao gồm trình nhắn tin TOX, trình nhắn tin ICQ, Skype và email. Nhiều tùy chọn liên hệ này cho phép kẻ tấn công giao tiếp với nạn nhân theo cách thuận tiện cho chúng.
Lưu ý về tiền chuộc cũng thông báo cho các nạn nhân rằng sau khi giải mã thử nghiệm, họ sẽ nhận được một địa chỉ ví tiền điện tử Bitcoin mà tiền chuộc sẽ được chuyển đến. Bitcoin là một loại tiền điện tử thường được sử dụng trong các cuộc tấn công ransomware vì rất khó theo dõi. Sau khi thanh toán được thực hiện, các tác nhân đe dọa sẽ gửi chương trình giải mã và hướng dẫn cho nạn nhân, cho phép họ lấy lại quyền truy cập vào các tệp được mã hóa của mình. Tuy nhiên, không có gì đảm bảo rằng những kẻ tấn công sẽ thực hiện đúng lời hứa của chúng và sẽ thực sự hỗ trợ nạn nhân khôi phục dữ liệu bị khóa sau khi đã tống tiền họ.
Toàn văn thông báo đòi tiền chuộc của Hairysquid Ransomware là:
'CHÀO!
Tất cả các tệp của bạn đã được mã hóa bằng vi-rút của chúng tôi.
ID duy nhất của bạn: -Bạn có thể mua giải mã đầy đủ các tệp của mình
Nhưng trước khi thanh toán, bạn có thể đảm bảo rằng chúng tôi thực sự có thể giải mã bất kỳ tệp nào của bạn.
Khóa mã hóa và ID là duy nhất cho máy tính của bạn, vì vậy bạn được đảm bảo có thể trả lại các tệp của mình.Để làm điều này:
1) Gửi id duy nhất của bạn - và tối đa 3 tệp để giải mã thử nghiệm
LIÊN HỆ CỦA CHÚNG TÔI
1.1) Trình nhắn tin TOX (nhanh và ẩn danh)
hxxps://tox.chat/download.html
Cài đặt qtox
nhấn hát lên
tạo tên riêng của bạn
Nhấn dấu cộng
Đặt ở đó ID độc tố của tôi
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
Và thêm tôi/viết tin nhắn
1.2) Trình nhắn tin ICQ
Trò chuyện trực tiếp ICQ hoạt động 24/7 - @Hairysquid
Cài đặt phần mềm ICQ trên PC của bạn tại đây hxxps://icq.com/windows/ hoặc trên điện thoại thông minh của bạn tìm kiếm "ICQ" trong Appstore / Google market
Viết thư cho ICQ của chúng tôi @Hairysquid hxxps://icq.im/Hairysquid
1.3) Skype
Giải mã mực lông
1.4)Thư (chỉ viết trong những tình huống quan trọng vì email của bạn có thể không được gửi hoặc bị vào thư rác)Hairysquid@onionmail.org
Trong dòng chủ đề, vui lòng viết ID giải mã của bạn: -
Sau khi giải mã, chúng tôi sẽ gửi cho bạn các tệp được giải mã và một ví bitcoin duy nhất để thanh toán.
Sau khi thanh toán tiền chuộc bằng Bitcoin, chúng tôi sẽ gửi cho bạn chương trình giải mã và hướng dẫn. Nếu chúng tôi có thể giải mã các tệp của bạn, chúng tôi không có lý do gì để lừa dối bạn sau khi thanh toán.Câu hỏi thường gặp:
Tôi có thể được giảm giá không?
Không. Số tiền chuộc được tính dựa trên số lượng tệp văn phòng được mã hóa và không được giảm giá. Tất cả các tin nhắn như vậy sẽ tự động bị bỏ qua. Nếu bạn thực sự chỉ muốn một số tệp, hãy nén chúng và tải chúng lên một nơi nào đó. Chúng tôi sẽ giải mã chúng miễn phí để làm bằng chứng.
Bitcoin là gì?
đọc bitcoin.org
Mua bitcoin ở đâu?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (cách nhanh nhất)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
hoặc sử dụng google.com để tìm thông tin nơi mua nó
Đâu là sự đảm bảo rằng tôi sẽ nhận lại được các tập tin của mình?
Việc chúng tôi có thể giải mã các tệp ngẫu nhiên của bạn là một sự đảm bảo. Thật vô nghĩa khi chúng tôi lừa dối bạn.
Tôi sẽ nhận được mã khóa và chương trình giải mã nhanh như thế nào sau khi thanh toán?
Theo quy định, trong 15 phút
Chương trình giải mã hoạt động như thế nào?
Nó đơn giản. Bạn cần chạy phần mềm của chúng tôi. Chương trình sẽ tự động giải mã tất cả các tệp được mã hóa trên ổ cứng của bạn'
