WoXoTo Ransomware låser offersystemer

Mens vi analyserede nye malware-prøver, stødte vi på en ny tilføjelse til Xorist-familien kendt som WoXoTo. WoXoTo fungerer som ransomware, en ondsindet software designet til at kryptere filer. Derudover genererer WoXoTo to løsesum-sedler – den opretter filen "Hvordan DEKRYPTERER DU FILES.txt" og viser en pop-up-meddelelse. Desuden ændrer den filnavne ved at tilføje filtypenavnet ".WoXoTo".

Løsesedlen kommunikerer til offeret, at deres filer har gennemgået kryptering, men forsikrer dem om ikke at gå i panik og hævder, at dekryptering er mulig ved betaling af løsesum. Noten specificerer betalingsmetoden som Bitcoin, med løsesum fastsat til 0,02 BTC.

For at understrege betydningen af nøjagtighed, instruerer noten offeret om at bekræfte den korrekte Bitcoin-adresse til betaling, som er angivet i noten. Efter betalingen bliver offeret bedt om at kontakte gerningsmændene via e-mail på woxoto@tuta.io ved hjælp af en specificeret emnelinje. Efter bekræftelse af betaling lover angriberne sig til at levere en vejledning og dekrypteringsnøgler for at muliggøre oplåsning af de krypterede filer.

WoXoTo Ransom Note kræver Bitcoin-betaling

Den fulde tekst af WoXoTo løsesum noten lyder som følger:

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

Hvordan er ransomware magen til WoXoTo distribueret?

Ransomware, inklusive WoXoTo, distribueres typisk gennem forskellige metoder, der udnytter sårbarheder i systemer eller narrer brugere til utilsigtet at installere den ondsindede software. Mens specifikke distributionsmetoder kan variere, er der fællestræk i, hvordan ransomware, herunder WoXoTo, spredes:

Phishing-e-mails:
Ransomware spredes ofte gennem phishing-e-mails, der indeholder ondsindede vedhæftede filer eller links. Disse e-mails kan forekomme legitime, hvilket lokker modtagere til at klikke på links eller åbne vedhæftede filer, hvilket fører til installation af ransomware.

Ondsindede links:
Cyberkriminelle kan bruge phishing-websteder eller kompromitterede legitime websteder til at distribuere ransomware. Brugere kan ubevidst besøge disse websteder, hvilket udløser download og eksekvering af den ondsindede kode.

Udnyttelsessæt:
Ransomware kan distribueres gennem udnyttelsessæt, som retter sig mod sårbarheder i software eller operativsystemer. Når en bruger besøger et kompromitteret websted, scanner udnyttelsessættet for sårbarheder og leverer ransomware-nyttelasten.

Malvertising:
Ondsindede annoncer (malvertising) på legitime websteder kan omdirigere brugere til websteder, der hoster ransomware. Ved at klikke på disse annoncer kan det starte download og eksekvering af den ondsindede kode.

Vandhulsangreb:
Cyberkriminelle kan kompromittere websteder, der ofte besøges af en bestemt målgruppe (såsom ansatte i en bestemt organisation). Når brugere fra den målrettede gruppe besøger disse kompromitterede websteder, kan de utilsigtet downloade ransomware.

Drive-by downloads:
Ransomware kan leveres gennem drive-by downloads, hvor malware automatisk downloades og udføres, når en bruger besøger et kompromitteret eller ondsindet websted uden brugerinteraktion.