WoXoTo Ransomware sperrt Opfersysteme
Bei der Analyse neuer Malware-Beispiele sind wir auf ein neuartiges Mitglied der Xorist-Familie namens WoXoTo gestoßen. WoXoTo fungiert als Ransomware, eine Schadsoftware zur Verschlüsselung von Dateien. Darüber hinaus generiert WoXoTo zwei Lösegeldforderungen: Es erstellt die Datei „HOW TO DECRYPT FILES.txt“ und zeigt eine Popup-Meldung an. Darüber hinaus werden Dateinamen durch Anhängen der Erweiterung „.WoXoTo“ geändert.
Der Lösegeldschein teilt dem Opfer mit, dass seine Dateien verschlüsselt wurden, versichert ihm jedoch, nicht in Panik zu geraten, indem er versichert, dass eine Entschlüsselung gegen Zahlung eines Lösegelds möglich sei. In der Notiz wird als Zahlungsmethode Bitcoin angegeben, wobei der Lösegeldbetrag auf 0,02 BTC festgelegt ist.
Um die Bedeutung der Genauigkeit zu betonen, fordert die Notiz das Opfer auf, die korrekte Bitcoin-Adresse für die Zahlung zu bestätigen, die in der Notiz angegeben ist. Nach der Zahlung wird das Opfer angewiesen, die Täter per E-Mail unter woxoto@tuta.io unter Angabe einer bestimmten Betreffzeile zu kontaktieren. Nach Bestätigung der Zahlung verpflichten sich die Angreifer, ein Tutorial und Entschlüsselungsschlüssel bereitzustellen, um das Entsperren der verschlüsselten Dateien zu ermöglichen.
WoXoTo-Lösegeldschein verlangt Bitcoin-Zahlung
Der vollständige Text der WoXoTo-Lösegeldforderung lautet wie folgt:
Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.comA list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchangesMake sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq
After sending, contact us at this email address: woxoto@tuta.io
With this subject: -After confirming the payment, you will receive a tutorial and the keys for decrypting the files.
Inwiefern ähnelt Ransomware der Verbreitung von WoXoTo?
Ransomware, einschließlich WoXoTo, wird typischerweise über verschiedene Methoden verbreitet, die Schwachstellen in Systemen ausnutzen oder Benutzer dazu verleiten, die Schadsoftware versehentlich zu installieren. Während die spezifischen Verbreitungsmethoden variieren können, gibt es Gemeinsamkeiten bei der Verbreitung von Ransomware, einschließlich WoXoTo:
Phishing-E-Mails:
Ransomware verbreitet sich häufig über Phishing-E-Mails, die schädliche Anhänge oder Links enthalten. Diese E-Mails können legitim erscheinen und die Empfänger dazu verleiten, auf Links zu klicken oder Anhänge zu öffnen, was zur Installation der Ransomware führt.
Schädliche Links:
Cyberkriminelle nutzen möglicherweise Phishing-Websites oder manipulierte legitime Websites, um Ransomware zu verbreiten. Benutzer können diese Websites unwissentlich besuchen und so den Download und die Ausführung des Schadcodes auslösen.
Exploit-Kits:
Ransomware kann über Exploit-Kits verbreitet werden, die auf Schwachstellen in Software oder Betriebssystemen abzielen. Wenn ein Benutzer eine kompromittierte Website besucht, sucht das Exploit-Kit nach Schwachstellen und liefert die Ransomware-Nutzlast.
Malvertising:
Schädliche Werbung (Malvertising) auf legitimen Websites kann Benutzer auf Websites umleiten, auf denen Ransomware gehostet wird. Durch Klicken auf diese Anzeigen wird möglicherweise der Download und die Ausführung des Schadcodes eingeleitet.
Watering-Hole-Angriffe:
Cyberkriminelle können Websites kompromittieren, die häufig von einer bestimmten Zielgruppe (z. B. Mitarbeitern einer bestimmten Organisation) besucht werden. Wenn Benutzer aus der Zielgruppe diese kompromittierten Websites besuchen, können sie versehentlich Ransomware herunterladen.
Drive-by-Downloads:
Ransomware kann durch Drive-by-Downloads übertragen werden, bei denen Malware automatisch heruntergeladen und ausgeführt wird, wenn ein Benutzer ohne Benutzerinteraktion eine kompromittierte oder bösartige Website besucht.