Το WoXoTo Ransomware κλειδώνει τα συστήματα θυμάτων
Κατά την ανάλυση νέων δειγμάτων κακόβουλου λογισμικού, συναντήσαμε μια νέα προσθήκη στην οικογένεια Xorist γνωστή ως WoXoTo. Το WoXoTo λειτουργεί ως ransomware, ένα κακόβουλο λογισμικό που έχει σχεδιαστεί για την κρυπτογράφηση αρχείων. Επιπλέον, το WoXoTo δημιουργεί δύο σημειώσεις λύτρων – δημιουργεί το αρχείο "HOW TO DECRYPT FILES.txt" και εμφανίζει ένα αναδυόμενο μήνυμα. Επιπλέον, αλλάζει τα ονόματα αρχείων προσθέτοντας την επέκταση ".WoXoTo".
Το σημείωμα λύτρων γνωστοποιεί στο θύμα ότι τα αρχεία του έχουν υποστεί κρυπτογράφηση, αλλά το καθησυχάζει να μην πανικοβληθεί, υποστηρίζοντας ότι η αποκρυπτογράφηση είναι εφικτή με την πληρωμή λύτρων. Η σημείωση προσδιορίζει τη μέθοδο πληρωμής ως Bitcoin, με το ποσό των λύτρων να έχει καθοριστεί στα 0,02 BTC.
Τονίζοντας τη σημασία της ακρίβειας, το σημείωμα δίνει οδηγίες στο θύμα να επιβεβαιώσει τη σωστή διεύθυνση Bitcoin για πληρωμή, η οποία παρέχεται μέσα στη σημείωση. Μετά την πληρωμή, το θύμα κατευθύνεται να επικοινωνήσει με τους δράστες μέσω email στο woxoto@tuta.io, χρησιμοποιώντας μια καθορισμένη γραμμή θέματος. Μετά την επιβεβαίωση της πληρωμής, οι εισβολείς δεσμεύονται να παράσχουν ένα εκπαιδευτικό πρόγραμμα και κλειδιά αποκρυπτογράφησης για να επιτρέψουν το ξεκλείδωμα των κρυπτογραφημένων αρχείων.
Το WoXoTo Ransom Note απαιτεί πληρωμή Bitcoin
Το πλήρες κείμενο του σημειώματος λύτρων WoXoTo έχει ως εξής:
Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.comA list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchangesMake sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq
After sending, contact us at this email address: woxoto@tuta.io
With this subject: -After confirming the payment, you will receive a tutorial and the keys for decrypting the files.
Πώς διανέμεται το Ransomware παρόμοιο με το WoXoTo;
Το Ransomware, συμπεριλαμβανομένου του WoXoTo, συνήθως διανέμεται μέσω διαφόρων μεθόδων που εκμεταλλεύονται ευπάθειες σε συστήματα ή εξαπατούν τους χρήστες να εγκαταστήσουν ακούσια το κακόβουλο λογισμικό. Αν και οι συγκεκριμένες μέθοδοι διανομής μπορεί να διαφέρουν, υπάρχουν κοινά σημεία στον τρόπο διάδοσης του ransomware, συμπεριλαμβανομένου του WoXoTo:
Email ηλεκτρονικού ψαρέματος:
Το Ransomware συχνά εξαπλώνεται μέσω email phishing που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να φαίνονται νόμιμα, παρακινώντας τους παραλήπτες να κάνουν κλικ σε συνδέσμους ή να ανοίξουν συνημμένα, οδηγώντας στην εγκατάσταση του ransomware.
Κακόβουλοι σύνδεσμοι:
Οι εγκληματίες του κυβερνοχώρου ενδέχεται να χρησιμοποιούν ιστότοπους ηλεκτρονικού ψαρέματος (phishing) ή παραβιασμένους νόμιμους ιστότοπους για τη διανομή ransomware. Οι χρήστες ενδέχεται να επισκεφθούν εν αγνοία τους αυτούς τους ιστότοπους, ενεργοποιώντας τη λήψη και την εκτέλεση του κακόβουλου κώδικα.
Κιτ εκμετάλλευσης:
Το Ransomware μπορεί να διανεμηθεί μέσω κιτ εκμετάλλευσης, τα οποία στοχεύουν ευπάθειες σε λογισμικό ή λειτουργικά συστήματα. Όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο, το κιτ εκμετάλλευσης σαρώνει για τρωτά σημεία και παραδίδει το ωφέλιμο φορτίο ransomware.
Κακή διαφήμιση:
Οι κακόβουλες διαφημίσεις (κακόφημες διαφημίσεις) σε νόμιμους ιστότοπους μπορούν να ανακατευθύνουν τους χρήστες σε ιστότοπους που φιλοξενούν ransomware. Κάνοντας κλικ σε αυτές τις διαφημίσεις μπορεί να ξεκινήσει η λήψη και η εκτέλεση του κακόβουλου κώδικα.
Επιθέσεις ποτίσματος:
Οι εγκληματίες του κυβερνοχώρου ενδέχεται να παραβιάσουν ιστότοπους που επισκέπτονται συχνά μια συγκεκριμένη ομάδα-στόχος (όπως οι υπάλληλοι ενός συγκεκριμένου οργανισμού). Όταν οι χρήστες από τη στοχευμένη ομάδα επισκέπτονται αυτούς τους παραβιασμένους ιστότοπους, ενδέχεται να πραγματοποιήσουν ακούσια λήψη ransomware.
Λήψεις Drive-by:
Το Ransomware μπορεί να παραδοθεί μέσω λήψεων Drive-by, όπου το κακόβουλο λογισμικό λαμβάνεται και εκτελείται αυτόματα όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ή κακόβουλο ιστότοπο χωρίς καμία αλληλεπίδραση με τον χρήστη.