Το Wzer Ransomware κλειδώνει τα αρχεία θυμάτων

Κατά την εξέταση νέων δειγμάτων κακόβουλου λογισμικού, η ομάδα μας συνάντησε το Wzer ransomware, το οποίο συνδέεται με την οικογένεια Djvu. Όταν διεισδύει σε έναν υπολογιστή, το Wzer κρυπτογραφεί διάφορα αρχεία και προσθέτει την επέκταση ".wzer" στα αρχικά τους ονόματα. Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" μετατρέπεται σε "1.jpg.wzer", ενώ το "2.png" αλλάζει σε "2.png.wzer" και ούτω καθεξής.

Πέρα από την κύρια λειτουργία της κρυπτογράφησης αρχείων, το Wzer δημιουργεί μια σημείωση λύτρων που εμφανίζεται ως αρχείο κειμένου που ονομάζεται "_readme.txt". Επιπλέον, η διανομή του Wzer μπορεί να περιλαμβάνει συνεργασία με κακόβουλο λογισμικό που κλέβει πληροφορίες όπως το Vidar και το RedLine.

Η σημείωση λύτρων στο αρχείο "_readme.txt" τονίζει ότι η αποκρυπτογράφηση αρχείων βασίζεται στη χρήση συγκεκριμένου λογισμικού αποκρυπτογράφησης και ενός μοναδικού κλειδιού. Τα θύματα λαμβάνουν οδηγίες να έρθουν σε επαφή με τους εισβολείς μέσω παρεχόμενων διευθύνσεων ηλεκτρονικού ταχυδρομείου (support@freshmail.top ή datarestorehelp@airmail.cc) για περαιτέρω καθοδήγηση.

Επιπλέον, το σημείωμα λύτρων παρουσιάζει δύο διαφορετικά ποσά: 980 $ και 490 $, υποδεικνύοντας ότι τα θύματα μπορούν ενδεχομένως να αποκτήσουν τα εργαλεία αποκρυπτογράφησης με μειωμένο ρυθμό εάν επικοινωνήσουν με τους εισβολείς μέσα σε ένα παράθυρο 72 ωρών.

Σημείωση Wzer Ransom Ζητά 490 $ σε πληρωμή λύτρων

Το πλήρες κείμενο του σημειώματος για τα λύτρα του Wzer έχει ως εξής:

ΠΡΟΣΟΧΗ!

Μην ανησυχείτε, μπορείτε να επιστρέψετε όλα τα αρχεία σας!
Όλα τα αρχεία σας, όπως εικόνες, βάσεις δεδομένων, έγγραφα και άλλα σημαντικά είναι κρυπτογραφημένα με την ισχυρότερη κρυπτογράφηση και μοναδικό κλειδί.
Η μόνη μέθοδος ανάκτησης αρχείων είναι να αγοράσετε εργαλείο αποκρυπτογράφησης και μοναδικό κλειδί για εσάς.
Αυτό το λογισμικό θα αποκρυπτογραφήσει όλα τα κρυπτογραφημένα αρχεία σας.
Τι εγγυήσεις έχετε;
Μπορείτε να στείλετε ένα από τα κρυπτογραφημένα αρχεία σας από τον υπολογιστή σας και εμείς το αποκρυπτογραφούμε δωρεάν.
Μπορούμε όμως να αποκρυπτογραφήσουμε μόνο 1 αρχείο δωρεάν. Το αρχείο δεν πρέπει να περιέχει πολύτιμες πληροφορίες.
Μπορείτε να λάβετε και να δείτε το εργαλείο αποκρυπτογράφησης επισκόπησης βίντεο:
hxxps://we.tl/t-E3ktviSmlG
Η τιμή του ιδιωτικού κλειδιού και του λογισμικού αποκρυπτογράφησης είναι 980 $.
Έκπτωση 50% διαθέσιμη εάν επικοινωνήσετε μαζί μας τις πρώτες 72 ώρες, η τιμή για εσάς είναι 490 $.
Λάβετε υπόψη ότι δεν θα επαναφέρετε ποτέ τα δεδομένα σας χωρίς πληρωμή.
Ελέγξτε το φάκελο "Ανεπιθύμητα" ή "Ανεπιθύμητα" του email σας εάν δεν λάβετε απάντηση για περισσότερες από 6 ώρες.

Για να αποκτήσετε αυτό το λογισμικό πρέπει να γράψετε στο e-mail μας:
support@freshmail.top

Κρατήστε τη διεύθυνση e-mail για να επικοινωνήσετε μαζί μας:
datarestorehelp@airmail.cc

Η προσωπική σας ταυτότητα:

Πώς διανέμεται στο Διαδίκτυο το Ransomware Like Wzer;

Το Ransomware όπως το Wzer διανέμεται συνήθως μέσω διαφόρων μεθόδων που εκμεταλλεύονται τρωτά σημεία σε συστήματα υπολογιστών ή αξιοποιούν την ανθρώπινη συμπεριφορά. Μερικές κοινές μέθοδοι διανομής περιλαμβάνουν:

• Κακόβουλα συνημμένα email: Οι εγκληματίες του κυβερνοχώρου συχνά στέλνουν μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα, όπως μολυσμένα έγγραφα ή εκτελέσιμα. Αυτά τα συνημμένα μπορεί να έχουν σχεδιαστεί για να μοιάζουν με νόμιμα αρχεία και όταν το θύμα τα ανοίξει, εκτελείται το ransomware.
• Μολυσμένα προγράμματα εγκατάστασης λογισμικού: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να θέσουν σε κίνδυνο τους νόμιμους εγκαταστάτες λογισμικού ή να δημιουργήσουν ψεύτικες εκδόσεις δημοφιλούς λογισμικού. Όταν οι χρήστες κάνουν λήψη και εγκατάσταση αυτών των μολυσμένων αρχείων, το ransomware εγκαθίσταται κρυφά μαζί.
• Κακόβουλοι σύνδεσμοι: Τα μηνύματα ηλεκτρονικού ταχυδρομείου ή τα μηνύματα ηλεκτρονικού ψαρέματος ενδέχεται να περιέχουν συνδέσμους προς ιστότοπους που φιλοξενούν το ransomware. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να οδηγήσει στην αυτόματη λήψη και εγκατάσταση του ransomware.
• Κιτ εκμετάλλευσης: Οι κυβερνοεγκληματίες μπορούν να χρησιμοποιήσουν κιτ εκμετάλλευσης, τα οποία είναι πακέτα κακόβουλου λογισμικού που έχουν σχεδιαστεί για να εκμεταλλεύονται ευπάθειες σε προγράμματα περιήγησης ιστού, προσθήκες ή άλλο λογισμικό. Όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο, το κιτ εκμετάλλευσης εντοπίζει τρωτά σημεία και παραδίδει το ωφέλιμο φορτίο ransomware.
• Επιθέσεις Remote Desktop Protocol (RDP): Οι εισβολείς στοχεύουν συστήματα με αδύναμα διαπιστευτήρια RDP ή γνωστές ευπάθειες. Μόλις αποκτήσουν απομακρυσμένη πρόσβαση, εγκαθιστούν το ransomware.
• Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις σε νόμιμους ιστότοπους μπορούν να οδηγήσουν τους χρήστες σε κακόβουλους ιστότοπους που φιλοξενούν το ransomware. Η απλή επίσκεψη στον παραβιασμένο ιστότοπο θα μπορούσε να προκαλέσει τη λήψη και εγκατάσταση του ransomware.
• Δίκτυα peer-to-peer και πειρατικό λογισμικό: Οι παράνομες λήψεις λογισμικού από δίκτυα peer-to-peer ή σπασμένες/πειρατικές εκδόσεις λογισμικού μπορεί να περιέχουν κρυφά ωφέλιμα φορτία ransomware.
• Λήψεις Drive-By: Οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν παραβιασμένους ιστότοπους για να παραδώσουν κακόβουλο λογισμικό στα συστήματα των επισκεπτών χωρίς καμία αλληλεπίδραση με τον χρήστη. Τα τρωτά σημεία του προγράμματος περιήγησης ή των προσθηκών του αξιοποιούνται για να ξεκινήσει η λήψη και η εκτέλεση του ransomware.