Czym jest *HELP_HELP_HELP*.hta? Czy powinienem go usunąć?

Co oznacza plik *HELP_HELP_HELP*.hta?

Plik *HELP_HELP_HELP*.hta jest notą z żądaniem okupu, którą najnowsze wersje ransomware Cerber zostawiają na zainfekowanych systemach. Wirus szyfruje wszystkie pliki w systemie, usuwa kopie woluminów w tle, a następnie zapisuje te pliki na pulpicie, aby zapewnić przekazanie poszkodowanemu informacji o infekcji. Nazwa tej noty z okupem bywa różna, ponieważ wirus przypisuje dowolny zestaw znaków do każdej ofiary, i w rezultacie, ofiary otrzymają pliki okupem, które mają takie nazwy: _HELP_HELP_HELP_[losowe znaki].hta. Rozszerzenie pliku – HTA – oznacza Aplikację HTML, co oznacza, że pliki te zwykle są otwierane przez program Internet Explorer. Zwykle są kodowane przy użyciu VBScript lub JScript. Jeśli otworzysz taki plik, zachowa się on jak plik wykonywalny. Kiedy zostanie otworzony, plik HELP_HELP_HELP.hta uruchamia program, który jest nazwany CERBER RANSOMWARE: Instructions. Program ten wita uzytkownika słowami standardowymi dla wirusa Cerber:

Cannot you find the necessary files?
Is the content of your files not readable?
It is normal because the files names and the data in your files have been encrypted by „Cerber Ransomware”.

Komunikat następnie wyjaśnia, że pliki zostały zaszyfrowane przez szkodnika, a obecnie jedynym narzędzia, które mogą przywrócić te pliki są przechowywane na serwerach cyberprzestępcy. Przestępcy mówią, że szkoda jest odwracalna, ale w celu odzyskania zaszyfrowanych danych, ofiara musi kupić specjalne oprogramowanie deszyfrujące o nazwie „Cerber Decryptor„. Cena deszyfratora zmienia się w zależności od wersji wirusa, ale cyberprzestępcy zwykle żądają 1 lub więcej Bitcoin. Bitcoiny powinny zostać przelane na dostarczony portfel Bitcoin – jest to jedyna droga, by wysłać pieniądze przestępcom, ponieważ płatność w systemie Bitcoin zapewnia anonimowość.

Po infiltracji, malware Cerber zmienia również tło pulpitu na obraz _HELP_HELP_HELP_[losowe znaki].jpg, który jest skróconą wersją noty z żądaniem okupu. Tłumaczy on, że pliki ofiary zostały zaszyfrowane i że więcej informacji można uzyskać w pliku *HELP_HELP_HELP*.hta. Musimy podkreślić, że ta wersja wirusa nie dodaje numeru wersji wirusa na pulpicie. To oznacza, że należy do kategorii Red Cerber ponieważ tekst jest podświetlony na kolor czerwony, a nie jasny zielony. Reszta wiadomości informuje, że ofiara musi zainstalować Tor Browser, aby otworzyć „osobistą stronę”, dzięki której można uzyskać dostęp poprzez podany link .onion.

W jaki sposób zabezpieczyć się przed pojawieniem się pliku *HELP_HELP_HELP*.hta na twoim PC?

Jeżeli nie chcesz natrafić na plik *HELP_HELP_HELP*.hta w swoim systemie komputerowym pewnego losowego dnia, należy podjąć działania z wyprzedzeniem, aby uchronić swój system od wirusów ransomware. W przeciwieństwie do prostych wirusów ransomware, Cerber nie używa spamu jako jedynej metody dystrybucji. Jest to wysoce zaawansowany wirus, który rozprzestrzenia się za pośrednictwem zainfekowanych sieci reklamowych, stron internetowych i zatrudnia niebezpieczne metody do jego dystrybucji. Jednakże, ostatnie kampanie spamu Cerbera dostarczają zakaźnych archiwów .zip z plikiem Worda w środku. Dokument zawiera złośliwy skrypt, który jest ustawiony tak szybko, jak tylko ofiara pozwoli makrom pobrać i uruchomić szkodnika. Najbardziej wiarygodnym narzędziem, które pomoże chronić przed atakiem Cerber jest zaktualizowane oprogramowanie anty-malware. Nie zapomnij zaktualizować go co jakiś czas pobierając niezbędne definicje wirusów i poszerzając jego bazę danych. W przypadku, gdy komputer zostanie zainfekowany przez szkodnika, stracisz wszystkie swoje pliki. Dlatego, kopie zapasowe są niezwykle ważne, należy tworzyć je co jakiś czas i trzymać je z dala od komputera.

Jak usunąć *HELP_HELP_HELP*.hta z zainfekowanego PC?

Mimo, że możesz po prostu usunąć plik *HELP_HELP_HELP*.hta z systemu, nei oznacza to, że będzie to wystarczający krok. Plik ten został oczywiście stworzony przez niebezpiecznego wirusa, więc powinieneś go usunąć. Możesz odinstalować wirusa i upewnić się, że *HELP_HELP_HELP*.hta zostanie usunięty przez uruchomienie skanowania systemu z pomocą oprogramowania anty-spyware, takiego jak FortectIntego.