Το Wormhole Ransomware κλειδώνει τα αρχεία των θυμάτων

Στην έρευνά μας για το κακόβουλο λογισμικό Wormhole, προσδιορίσαμε ότι λειτουργεί ως ransomware με πρωταρχικό στόχο την κρυπτογράφηση αρχείων και την απαίτηση λύτρων για αποκρυπτογράφηση. Παράλληλα με την κρυπτογράφηση αρχείων, το Wormhole αλλάζει τα ονόματα αρχείων προσθέτοντας την επέκταση ".Wormhole" (π.χ. μετονομασία "1.jpg" σε "1.jpg.Wormhole", "2.png" σε "2.png.Wormhole" και ούτω καθεξής ).

Το ransomware παρουσιάζει επίσης μια σημείωση λύτρων ("Πώς να ανακτήσετε αρχεία κρυπτογραφημένα από το Wormhole.txt") που καθοδηγεί τα θύματα να επικοινωνούν με τους εισβολείς μέσω Tox ή qTox (παρέχοντας συνδέσμους λήψης για αυτά τα εργαλεία). Συμβουλεύει τα θύματα να διαμορφώσουν έναν διακομιστή μεσολάβησης εάν το εργαλείο συνομιλίας αντιμετωπίσει προβλήματα συνδεσιμότητας στο Διαδίκτυο.

Επιπλέον, το σημείωμα περιέχει το Tox ID του εισβολέα, το οποίο χρησιμεύει ως μοναδικό αναγνωριστικό για σκοπούς επικοινωνίας. Ζητάει από τον παραλήπτη να στείλει ένα κρυπτογραφημένο αρχείο μαζί με ένα Wormhole ID για δοκιμαστική αποκρυπτογράφηση.

Πλήρης σημείωση Wormhole Ransom

Το πλήρες κείμενο του σημειώματος λύτρων που παρήγαγε η Wormhole έχει ως εξής:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Πώς διανέμεται κοινά το Ransomware στο Διαδίκτυο;

Το ransomware διανέμεται συνήθως στο διαδίκτυο μέσω διαφόρων μεθόδων, συχνά αξιοποιώντας τακτικές κοινωνικής μηχανικής και ευπάθειες σε λογισμικό ή συστήματα. Ακολουθούν ορισμένες κοινές μέθοδοι διανομής:

Μηνύματα ηλεκτρονικού ψαρέματος: Μία από τις πιο διαδεδομένες μεθόδους είναι μέσω μηνυμάτων ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν σχεδιαστεί για να φαίνονται νόμιμα και μπορεί να εξαπατήσουν τους χρήστες να ανοίξουν συνημμένα ή να κάνουν κλικ σε συνδέσμους που κατεβάζουν και εκτελούν ransomware στα συστήματά τους.

Κακόβουλοι σύνδεσμοι: Το Ransomware μπορεί να διανεμηθεί μέσω κακόβουλων συνδέσμων που μοιράζονται μέσω email, μέσων κοινωνικής δικτύωσης ή πλατφορμών ανταλλαγής άμεσων μηνυμάτων. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να οδηγήσει στη λήψη και την εκτέλεση ransomware στη συσκευή του θύματος.

Κιτ εκμετάλλευσης: Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν κιτ εκμετάλλευσης για να εκμεταλλευτούν τρωτά σημεία σε λογισμικό ή προγράμματα περιήγησης ιστού. Όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο, το κιτ εκμετάλλευσης κατεβάζει αυτόματα και εγκαθιστά ransomware στον υπολογιστή του θύματος εν αγνοία του.

Συμβιβασμός πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εισβολείς εκμεταλλεύονται αδύναμα ή προεπιλεγμένα διαπιστευτήρια για το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα του θύματος. Μόλις μπουν μέσα, αναπτύσσουν ransomware για την κρυπτογράφηση αρχείων και απαιτούν λύτρα.

Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις (κακόφημες διαφημίσεις) σε νόμιμους ιστότοπους μπορούν να ανακατευθύνουν τους χρήστες σε ιστότοπους που φιλοξενούν ransomware. Αυτές οι διαφημίσεις ενδέχεται να εμφανίζονται σε δημοφιλείς ιστότοπους και να εκμεταλλεύονται ευπάθειες στο πρόγραμμα περιήγησης ή στις προσθήκες του χρήστη για την παράδοση ransomware.