Hairysquid 勒索軟件
名為 Hairysquid 的勒索軟件通過加密文件並將“.Hairysquid”擴展名添加到加密文件的文件名末尾來運行。除了加密文件外,該惡意軟件還會創建一個贖金票據,該票據作為名為“READ_ME_DECRYPTION_HAIRYSQUID.txt”的文件保存在被破壞的設備上。 Hairysquid 是 Mimic 勒索軟件的新變種。
目錄
Hairysquid 勒索軟件禁用重要的計算機功能
Hairysquid Ransomware 能夠對計算機系統進行重大更改。它執行此操作的主要方法之一是更改 Windows 組策略,該策略負責設置管理計算機行為的規則和限制。具體來說,Hairysquid 停用了 Windows Defender 提供的保護,該安全功能對於勒索軟件的有效運行至關重要。這意味著當計算機上沒有安裝反惡意軟件程序時,Windows Defender 通常是抵禦惡意軟件的第一道防線,通過禁用它,Hairysquid 在系統上獲得了立足點。
此外,Hairysquid 會切斷所有活動的遠程連接,導致連接用戶失去控制。這意味著遠程連接到受影響計算機的任何人都將無法再訪問它。 Hairysquid 還會終止和停用 TaskManager,這是一個內置的 Windows 實用程序,允許用戶查看和管理在其計算機上運行的程序和進程。該勒索軟件還修改了負責控制各種程序和服務行為的註冊表項,以完全阻止 TaskManager 被激活。
此外,Hairysquid 會阻止被破壞設備上的註銷、重啟和關閉功能。這意味著用戶無法註銷他們的帳戶、重新啟動或關閉他們的計算機,這使得阻止勒索軟件的活動變得更加困難。所有這些修改使 Hairysquid 成為一種特別陰險的威脅,一旦它控制了系統就很難將其刪除。
Hairysquid 勒索軟件背後的攻擊者留下了一張冗長的勒索字條
當計算機感染了 Hairysquid 勒索軟件時,會留下勒索字條以告知受害者情況。贖金票據指出,受感染計算機上的所有文件都已加密,這意味著如果沒有解密密鑰,受害者將無法再訪問這些文件。然後,該通知通知受害者,他們必須向網絡犯罪分子支付費用才能解密他們的文件。此外,受害者有機會測試攻擊者是否可以在付款前解密他們的文件。
為確保解密過程正常進行,贖金票據指示受害者發送惡意軟件分配給他們的特定 ID 以及最多三個文件以進行測試解密。此過程允許攻擊者證明他們有能力解密文件,並且可以信任他們提供承諾的解密密鑰。
贖金票據提供了多種聯繫方式,包括 TOX 信使、ICQ 信使、Skype 和電子郵件。這種多種聯繫方式允許攻擊者以方便他們的方式與受害者交流。
贖金票據還告知受害者,在測試解密後,他們將收到一個比特幣加密錢包地址,贖金應該轉移到該地址。比特幣是一種加密貨幣,因其難以追踪而常用於勒索軟件攻擊。付款後,威脅行為者會將解密程序和指令發送給受害者,使他們能夠重新獲得對加密文件的訪問權限。然而,無法保證攻擊者會兌現他們的承諾,並在已經勒索受害者金錢後實際幫助受害者恢復鎖定的數據。
Hairysquid Ransomware 的贖金票據全文如下:
名為 Hairysquid 的勒索軟件通過加密文件並將“.Hairysquid”擴展名添加到加密文件的文件名末尾來運行。除了加密文件外,該惡意軟件還會創建一個贖金票據,該票據作為名為“READ_ME_DECRYPTION_HAIRYSQUID.txt”的文件保存在被破壞的設備上。 Hairysquid 是Mimic R nsomware的新變種。
Hairysquid 勒索軟件禁用基本的計算機功能
Hairysquid Ransomware 能夠對計算機系統進行重大更改。它執行此操作的主要方法之一是更改 Windows 組策略,該策略負責設置管理計算機行為的規則和限制。具體來說,Hairysquid 停用了 Windows Defender 提供的保護,該安全功能對於勒索軟件的有效運行至關重要。這意味著當計算機上沒有安裝反惡意軟件程序時,Windows Defender 通常是抵禦惡意軟件的第一道防線,通過禁用它,Hairysquid 在系統上獲得了立足點。
此外,Hairysquid 會切斷所有活動的遠程連接,導致連接用戶失去控制。這意味著遠程連接到受影響計算機的任何人都將無法再訪問它。 Hairysquid 還會終止和停用 TaskManager,這是一個內置的 Windows 實用程序,允許用戶查看和管理在其計算機上運行的程序和進程。該勒索軟件還修改了負責控制各種程序和服務行為的註冊表項,以完全阻止 TaskManager 被激活。
此外,Hairysquid 會阻止被破壞設備上的註銷、重啟和關閉功能。這意味著用戶無法註銷他們的帳戶、重新啟動或關閉他們的計算機,這使得阻止勒索軟件的活動變得更加困難。所有這些修改使 Hairysquid 成為一種特別陰險的威脅,一旦它控制了系統就很難將其刪除。
Hairysquid 勒索軟件背後的攻擊者留下了一張冗長的勒索字條
當計算機感染了 Hairysquid 勒索軟件時,會留下勒索字條以告知受害者情況。贖金票據指出,受感染計算機上的所有文件都已加密,這意味著如果沒有解密密鑰,受害者將無法再訪問這些文件。然後,該通知通知受害者,他們必須向網絡犯罪分子支付費用才能解密他們的文件。此外,受害者有機會測試攻擊者是否可以在付款前解密他們的文件。
為確保解密過程正常進行,贖金票據指示受害者發送惡意軟件分配給他們的特定 ID 以及最多三個文件以進行測試解密。此過程允許攻擊者證明他們有能力解密文件,並且可以信任他們提供承諾的解密密鑰。
贖金票據提供了多種聯繫方式,包括 TOX 信使、ICQ 信使、Skype 和電子郵件。這種多種聯繫方式允許攻擊者以方便他們的方式與受害者交流。
贖金票據還告知受害者,在測試解密後,他們將收到一個比特幣加密錢包地址,贖金應該轉移到該地址。比特幣是一種加密貨幣,因其難以追踪而常用於勒索軟件攻擊。付款後,威脅行為者會將解密程序和指令發送給受害者,使他們能夠重新獲得對加密文件的訪問權限。然而,無法保證攻擊者會兌現他們的承諾,並在已經勒索受害者金錢後實際幫助受害者恢復鎖定的數據。
Hairysquid Ransomware 的贖金票據全文如下:
'你好!
您的所有文件都已使用我們的病毒加密。
您的唯一 ID:-您可以購買文件的完全解密
但在您付款之前,您可以確保我們能夠真正解密您的任何文件。
加密密鑰和 ID 對您的計算機而言是唯一的,因此可以保證您能夠歸還文件。去做這個:
1) 發送您的唯一 ID - 以及最多 3 個文件用於測試解密
我們的聯繫人
1.1)TOX 信使(快速且匿名)
hxxps://tox.chat/download.html
安裝qtox
按唱起來
創建自己的名字
按加號
把我的 tox ID 放在那裡
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
並加我/寫消息
1.2)ICQ即時通
24/7 全天候工作的 ICQ 實時聊天 - @Hairysquid
在您的 PC 上安裝 ICQ 軟件 hxxps://icq.com/windows/ 或在您的智能手機上在 Appstore / Google 市場中搜索“ICQ”
寫信給我們的 ICQ @Hairysquid hxxps://icq.im/Hairysquid
1.3) 網絡電話
Hairysquid解密
1.4)郵件(只在緊急情況下寫,因為您的電子郵件可能無法送達或進入垃圾郵件)Hairysquid@onionmail.org
在主題行中,請寫下您的解密 ID:-
解密後,我們會將解密後的文件和一個獨一無二的比特幣錢包發送給您,用於支付。
在支付比特幣贖金後,我們將向您發送解密程序和說明。如果我們可以解密您的文件,我們就沒有理由在付款後欺騙您。常問問題:
我能得到折扣嗎?
不會。贖金金額是根據加密辦公文件的數量計算的,不提供折扣。所有此類消息將被自動忽略。如果您真的只想要一些文件,請將它們壓縮並上傳到某個地方。我們將免費解碼它們作為證據。
什麼是比特幣?
閱讀 bitcoin.org
在哪裡購買比特幣?
hxxps://www.alfa.cash/buy-crypto-with-credit-card(最快的方式)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
幣安網
或使用 google.com 查找購買信息
我將收到我的文件的保證在哪裡?
我們可以解密您的隨機文件這一事實就是一種保證。我們欺騙你是沒有意義的。
付款後多久能收到密鑰和解密程序?
通常,在 15 分鐘內
解密程序如何工作?
這很簡單。您需要運行我們的軟件。該程序將自動解密您硬盤上的所有加密文件'
