Какво е *HELP_HELP_HELP*.hta? Необходимо ли е да го премахна?

Какво означава наличието на файла *HELP_HELP_HELP*.hta?

Файлът *HELP_HELP_HELP*.hta е съобщението за откуп, което последните версии на рансъмуера Cerber оставят в инфектираните системи. Вирусът криптира всички файлове в системата, изтрива Моментните снимки на томове (Volume Shadow Copies) и след това съхранява тези файлове на работния плот, за да предостави не жертвата информация за инфекцията. Наименованието на това съобщение за откуп може да варира, тъй като вируса задава случаен набор от символи за всяка жертва и в резултат на това, те получават съобщения за откуп с такива имена: _HELP_HELP_HELP_[random chars].hta. Файловото разширение – HTA – означава HTML приложение (HTML Application), което предполага, че тези файлове обикновено се отварят с Internet Explorer. Кодирани са главно чрез VBScript или JScript. Ако отворите такъв файл, той се „държи“ като изпълним файл. След като бъде отворен, файлът HELP_HELP_HELP.hta стартира програма, носеща име РАНСЪМУЕР CERBER: Инструкции (CERBER RANSOMWARE: Instructions). Програмата поздравява жертвата с типичното за Cerber вируса интро:

Cannot you find the necessary files? (Не успявате да откриете нужните ви файлове?)
Is the content of your files not readable? (Съдържанието на файловете ви не може да бъде разчетено?)
It is normal because the files names and the data in your files have been encrypted by „Cerber Ransomware“. (Това е напълно нормално, тъй като имената на файловете и информацията в тях бяха криптирани от рансъмуер вируса Cerber.)

Съобщението продължава като обяснява, че файловете са криптирани от рансъмуер вирус и единственият инструмент, който може да ги възстанови, се намира на сървърите на киберпрестъпниците. Престъпниците твърдят, че щетите са поправими, но за да възстанови криптираната информация, жертвата трябва да закупи „специален декриптиращ софтуер“ наречен Cerber Decryptor. Цената на дешифратора варира в зависимост от версията на вируса, но обикновено киберпрестъпниците искат плащането на 1 или повече Биткойни. Те трябва да бъдат прехвърлени в предоставен Биткойн портфейл – това е единственият възможен начин за изпращане на пари на престъпниците, тъй като Биткойн системата за разплащания гарантира анонимност. 

След проникването си в компютъра, зловредният Cerber променя и фона на работния плот с изображението _HELP_HELP_HELP_[random chars].jpg, което представлява съкратен вариант на съобщението за откуп. То обяснява, че файловете на жертвата са били криптирани и че подробна информация може да бъде получена от файла *HELP_HELP_HELP*.hta. Трябва да посочим, че тази версия на вируса вече не показва номера на версията на работния плот. Тя принадлежи към категорията на Red Cerber, тъй като текстът е подчертан в червен, а не в ярко зелен цвят. Останалата част на съобщението информира жертвата, че трябва да инсталира Tor браузър, за да отвори “личната си страница”, който може да бъде достигнат чрез предоставения .onion линк.

Как да се предпазим от появата на *HELP_HELP_HELP*.hta на компютъра ни?

Ако не бихте искали един ден да се сблъскате с файла *HELP_HELP_HELP*.hta, добре е предварително да вземете мерки, за да защитите системата си от рансъмуер вируси. За разлика от обикновените рансъмуер вируси, Cerber не използва спам имейли като единствен метод на разпространение. Той е високо усъвършенстван вирус, който се разпространява чрез компрометирани рекламни мрежи, уеб страници и използва опасни експлоатационни инструменти (exploit kits). И все пак, последните имейл спам кампании доставят заразени .zip архиви съдържащи файл в Word формат. Документът съдържа зловреден скрипт, който има за задача да изтегли и стартира рансъмуера веднага след като жертвата активира функцията Macros. Най-надеждният инструмент, който може да ви предпази от атака на Cerber е актуализирана програма против зловреден софтуер. Не забравяйте да я актуализирате редовно, за да изтеглите необходимите вирусни дефиниции и да разширите базата с данни. В случай че компютъра ви бъде заразен с рансъмуер, ще изгубите всичките си файлове. Точно затова архивирането на информацията е изключително важно, затова от време на време правете резервни копия и ги дръжте далеч от компютъра си.

Как да премахнем *HELP_HELP_HELP*.hta от компрометирания компютър?

Въпреки че съвсем лесно може да премахнете файла *HELP_HELP_HELP*.hta от системата, това изобщо не е достатъчно. Този файл очевидно е създаден от опасен вирус, затова трябва да премахнете именно вируса. Може да го деинсталирате и да гарантирате премахването на *HELP_HELP_HELP*.hta като направите пълно системно сканиране с анти малуер софтуер като FortectIntego.