Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.
USUŃ TO TERAZAby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Czym jest złośliwe oprogramowanie HYFLOCK?
HYFLOCK to ransomware, które odkryliśmy podczas badania próbek złośliwego oprogramowania przesłanych do platformy VirusTotal. Podobnie jak inne ransomware, szyfruje ono pliki na komputerze ofiary, czyniąc je niedostępnymi, i żąda zapłaty w zamian za odszyfrowanie.
Na naszej maszynie testowej HYFLOCK dołączał rozszerzenie „.locked" do każdego zaszyfrowanego pliku. Plik pierwotnie nazwany „1.jpg" stał się „1.jpg.locked", „2.png" stał się „2.png.locked" i tak dalej. Po zakończeniu szyfrowania utworzył notatkę z żądaniem okupu w pliku HTML o nazwie „How to Restore My Files.html".
Zrzut ekranu plików zaszyfrowanych przez ransomware HYFLOCK:

Przegląd żądania okupu HYFLOCK
Żądanie okupu to plik HTML o nazwie „How to Restore My Files.html". Informuje ono ofiary, że ich pliki zostały zablokowane przy użyciu szyfrowania HC-128 i że tylko atakujący posiadają klucz deszyfrujący potrzebny do przywrócenia dostępu.
Aby skontaktować się z atakującymi, ofiary są proszone o zainstalowanie klienta komunikacyjnego qTox wraz z Tor Browser, dodanie identyfikatora kontaktowego Tox atakujących i wysłanie wiadomości zawierającej ich unikalny identyfikator ofiary (Victim ID). Żądanie zawiera szczegółowe instrukcje instalacji krok po kroku dla systemów Windows, Linux i macOS.
Żądanie ostrzega również ofiary, aby nie próbowały samodzielnego odszyfrowania, nie modyfikowały ani nie usuwały zaszyfrowanych plików, nie używały narzędzi odzyskiwania innych firm oraz nie ponownie uruchamiały systemu. Zdecydowanie zaleca się nawiązanie kontaktu w ciągu 48 godzin, sugerując, że opóźnienia grożą trwałą utratą danych.
Przegląd ransomware HYFLOCK
W większości ataków ransomware przywrócenie zaszyfrowanych plików bez współpracy atakującego nie jest możliwe. Wyjątki istnieją tylko w przypadkach, gdy ransomware został zakodowany z poważnymi błędami, które umożliwiają złamanie szyfrowania.
Nawet jeśli ofiary zapłacą okup, nie ma gwarancji otrzymania działającego oprogramowania deszyfrującego. Cyberprzestępcy rutynowo pobierają zapłatę i znikają, nie dostarczając niczego. Z tego powodu zdecydowanie odradzamy płacenie.
Usunięcie HYFLOCK z zainfekowanego systemu jest ważne, aby powstrzymać dalsze szkody, ale samo usunięcie nie może przywrócić już zaszyfrowanych plików. Najbardziej niezawodną opcją odzyskiwania jest przywrócenie plików z kopii zapasowej utworzonej przed wystąpieniem infekcji.
Kopie zapasowe powinny być przechowywane w co najmniej dwóch oddzielnych lokalizacjach - takich jak offline'owe urządzenie pamięci masowej i zdalny serwer - tak aby pojedynczy atak nie mógł jednocześnie zniszczyć wszystkich kopii.
Ransomware w ogólności
Przez lata przeanalizowaliśmy tysiące programów ransomware. Główny cel nigdy się nie zmienia: zablokować pliki i pobierać opłatę za ich zwrot. Główne różnice między odmianami to używane przez nie algorytmy szyfrowania symetrycznego lub asymetrycznego oraz wysokość żądanego okupu.
Dodatkowe przykłady ransomware to SUCKS 2 SUCK, TuakTOX oraz BL4CK SP1D3R.
Jak ransomware zainfekował mój komputer?
Ransomware najczęściej dostaje się poprzez wiadomości e-mail typu phishing. Wiadomości te zawierają złośliwe załączniki - takie jak dokumenty Microsoft Office, archiwa lub pliki wykonywalne - lub linki prowadzące do witryn, które po cichu wprowadzają malware na komputer odwiedzającego.
Trojany to kolejna popularna metoda dostarczania. Mogą one po cichu zainstalować ransomware po uzyskaniu dostępu do systemu. Fałszywe aktualizacje oprogramowania, złośliwe reklamy i pirackie oprogramowanie również regularnie służą jako kanały dystrybucji.
Pobieranie oprogramowania z nieoficjalnych źródeł - sieci peer-to-peer, darmowych platform hostingowych lub zewnętrznych witryn udostępniania plików - znacznie zwiększa ryzyko infekcji. Aby pozyskiwać oprogramowanie, należy korzystać wyłącznie z oficjalnych witryn deweloperów i zaufanych sklepów z aplikacjami oraz całkowicie unikać cracków i nieoficjalnych narzędzi aktywacyjnych.
| Nazwa | wirus HYFLOCK |
| Typ Zagrożenia | Ransomware, Wirus szyfrujący, Blokada plików |
| Rozszerzenie Zaszyfrowanych Plików | .locked |
| Wiadomość Z Żądaniem Okupu | How to Restore My Files.html |
| Dostępny Darmowy Deszyfrator? | Nie |
| Kontakt Cyberprzestępców | qTox (identyfikator kontaktowy podany w żądaniu okupu) |
| Nazwy Wykrycia | Avast (Win64:MalwareX-gen [Ransom]), Combo Cleaner (Gen:Variant.Mikey.188834), ESET-NOD32 (Win64/TrojanDropper.Agent.XG Trojan), Kaspersky (VHO:Trojan-PSW.Win32.Greedy.gen), Microsoft (Trojan:Win32/Sonbokli.A!cl), Pełna Lista Wykryć (VirusTotal) |
| Objawy | Nie można otworzyć plików przechowywanych na komputerze, wcześniej działające pliki mają teraz inne rozszerzenie (na przykład my.docx.locked). Na pulpicie wyświetlana jest wiadomość z żądaniem okupu. Cyberprzestępcy żądają zapłaty okupu (zazwyczaj w bitcoinach) w celu odblokowania plików. |
| Metody Dystrybucji | Zainfekowane załączniki e-mail (makra), witryny z torrentami, złośliwe reklamy. |
| Uszkodzenia | Wszystkie pliki są zaszyfrowane i nie można ich otworzyć bez zapłacenia okupu. Wraz z infekcją ransomware mogą zostać zainstalowane dodatkowe trojany wykradające hasła oraz inne infekcje malware. |
| Usuwanie malware (Windows) |
Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. Pobierz Combo CleanerBezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk. |
Jak chronić się przed infekcjami ransomware?
Należy zachować ostrożność podczas przeglądania sieci i obsługi poczty e-mail. Załączniki należy otwierać lub w linki klikać tylko wtedy, gdy ma się pewność, że nadawca jest wiarygodny. Oprogramowanie należy pobierać wyłącznie z oficjalnych witryn lub zaufanych sklepów z aplikacjami, nigdy ze źródeł zewnętrznych.
Oprogramowanie i systemy operacyjne należy aktualizować za pomocą oficjalnych, wbudowanych narzędzi oraz unikać łatek aktywacyjnych lub generatorów kluczy z nieoficjalnych witryn. Jeśli komputer jest już zainfekowany HYFLOCK, zalecamy wykonanie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować ten ransomware.
Wygląd żądania okupu HTML HYFLOCK („How to Restore My Files.html"):

Tekst przedstawiony w tym żądaniu okupu:
HYFLOCK
Security Division :: Enterprise Encryption System
► SYSTEM ENCRYPTION PROTOCOL :: v2.7.1
► STATUS :: ALL FILES SECURED
► NODE ::⚠ CRITICAL SECURITY NOTICE
IMMEDIATE ACTION REQUIRED
DO NOT attempt to decrypt files yourself
DO NOT modify or delete encrypted files
DO NOT use third-party decryption tools
DO NOT reboot or shut down your system
Contact us within 48 hours to avoid data lossYour files have been secured with military-grade HC-128 encryption. They are NOT deleted, only inaccessible without the unique decryption key.
◈ DECRYPTION CREDENTIALS
TOX CONTACT (PRIMARY)
[-]
⏱ Response time: 2-24 hours. Save your Victim ID - it is required for decryption.
Udostępnij:
Tomas Meskauskas
Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania
Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.
Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznęPortal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznę
▼ Pokaż dyskusję