Hhaz Ransomware verrouille les systèmes des victimes
Lors de notre examen de nouveaux échantillons de logiciels malveillants, nous avons identifié Hhaz comme une variante de ransomware liée à la famille Djvu. Notre enquête a révélé que Hhaz crypte les données, modifie les noms de fichiers en ajoutant l'extension « .hhaz » et génère un fichier texte nommé « _readme.txt » contenant une demande de rançon.
Pour illustrer le comportement de renommage des fichiers de Hhaz, il remplace « 1.jpg » par « 1.jpg.hhaz », « 2.png » par « 2.png.hhaz », et ainsi de suite. Le rançongiciel Djvu est notamment associé aux voleurs d'informations.
Le message de rançon assure à la personne ciblée que les fichiers verrouillés, comprenant des images, des bases de données et des documents, peuvent être restaurés en obtenant un outil de décryptage et une clé spécifique. Comme preuve de la possession des outils de décryptage, les attaquants proposent le décryptage gratuit d'un seul fichier, à condition qu'il manque des informations précieuses.
Le coût du décryptage est fixé à 980 $, avec une réduction de 50 % disponible si les victimes contactent les acteurs malveillants dans un délai de 72 heures. La note souligne l'impossibilité absolue de récupérer les données sans effectuer le paiement spécifié. Les victimes sont invitées à contacter les opérateurs du ransomware par e-mail à support@freshmail.top ou datarestorehelpyou@airmail.cc.
Note de rançon Hhaz dans son intégralité
Le texte complet de la demande de rançon produite par Hhaz se lit comme suit :
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-5zKXJl7cwi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.To get this software you need write on our e-mail:
support@freshmail.topReserve e-mail address to contact us:
datarestorehelpyou@airmail.ccVotre identifiant personnel :
Comment les ransomwares comme Hhaz sont-ils distribués en ligne ?
Les ransomwares comme Hhaz sont généralement distribués via divers canaux en ligne en utilisant des tactiques conçues pour exploiter les vulnérabilités et tromper les utilisateurs. Voici les méthodes courantes utilisées pour la distribution de ransomwares :
Pièces jointes malveillantes :
Les cybercriminels utilisent souvent des e-mails de phishing pour distribuer des ransomwares. Ces e-mails peuvent contenir des pièces jointes apparemment inoffensives, telles que des documents ou des PDF, qui contiennent en réalité la charge utile malveillante. L'ouverture de ces pièces jointes peut déclencher l'installation du ransomware.
Sites Web infectés et publicités malveillantes :
Visiter des sites Web compromis ou cliquer sur des publicités en ligne malveillantes (publicités malveillantes) peut exposer les utilisateurs à des ransomwares. Les attaquants peuvent exploiter les vulnérabilités des navigateurs Web ou des plugins pour diffuser la charge utile du ransomware.
Kits d'exploitation :
Les kits d'exploitation sont des outils qui ciblent les vulnérabilités logicielles pour diffuser des logiciels malveillants. Les cybercriminels peuvent utiliser des kits d'exploitation sur des sites Web compromis ou malveillants pour exploiter automatiquement les vulnérabilités du logiciel du visiteur et déployer un ransomware.
Attaques du protocole de bureau à distance (RDP) :
Les cybercriminels peuvent tenter d'obtenir un accès non autorisé aux systèmes via des connexions Remote Desktop Protocol faibles ou compromises. Une fois à l’intérieur, ils peuvent déployer un ransomware directement sur le système ciblé.
Liens malveillants dans les e-mails ou les messages :
Les ransomwares peuvent être distribués via des liens dans des e-mails, des messages instantanés ou sur les réseaux sociaux. Cliquer sur ces liens peut conduire au téléchargement et à l'exécution de fichiers malveillants qui installent le ransomware sur l'appareil de l'utilisateur.
Attaques de points d’eau :
Dans le cadre d’attaques de points d’eau, les cybercriminels compromettent les sites Web régulièrement visités par un groupe cible spécifique. En infectant ces sites Web, ils peuvent diffuser des ransomwares au public cible.
