WoXoTo Ransomware bloquea los sistemas de las víctimas

Mientras analizamos nuevas muestras de malware, nos encontramos con una nueva incorporación a la familia Xorist conocida como WoXoTo. WoXoTo opera como ransomware, un software malicioso diseñado para cifrar archivos. Además, WoXoTo genera dos notas de rescate: crea el archivo "CÓMO DESCIFRAR ARCHIVOS.txt" y muestra un mensaje emergente. Además, modifica los nombres de los archivos añadiendo la extensión ".WoXoTo".

La nota de rescate comunica a la víctima que sus archivos han sido encriptados, pero le asegura que no entre en pánico, afirmando que el descifrado es posible mediante el pago de un rescate. La nota especifica que el método de pago es Bitcoin, con el monto del rescate fijado en 0,02 BTC.

Haciendo hincapié en la importancia de la precisión, la nota indica a la víctima que confirme la dirección Bitcoin correcta para el pago, que se proporciona en la nota. Después del pago, se indica a la víctima que se comunique con los perpetradores por correo electrónico a woxoto@tuta.io, utilizando una línea de asunto específica. Tras la confirmación del pago, los atacantes se comprometen a proporcionar un tutorial y claves de descifrado para permitir el desbloqueo de los archivos cifrados.

La nota de rescate de WoXoTo exige el pago de Bitcoin

El texto completo de la nota de rescate de WoXoTo dice lo siguiente:

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

¿En qué se parece el ransomware a WoXoTo?

El ransomware, incluido WoXoTo, generalmente se distribuye a través de varios métodos que explotan las vulnerabilidades en los sistemas o engañan a los usuarios para que instalen software malicioso sin darse cuenta. Si bien los métodos de distribución específicos pueden variar, existen puntos en común en la forma en que se difunde el ransomware, incluido WoXoTo:

Correos electrónicos de phishing:
El ransomware a menudo se propaga a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Estos correos electrónicos pueden parecer legítimos e incitar a los destinatarios a hacer clic en enlaces o abrir archivos adjuntos, lo que lleva a la instalación del ransomware.

Enlaces maliciosos:
Los ciberdelincuentes pueden emplear sitios web de phishing o sitios legítimos comprometidos para distribuir ransomware. Los usuarios pueden visitar estos sitios sin saberlo, lo que desencadena la descarga y ejecución del código malicioso.

Kits de explotación:
El ransomware se puede distribuir a través de kits de explotación, que apuntan a vulnerabilidades en el software o los sistemas operativos. Cuando un usuario visita un sitio web comprometido, el kit de exploits busca vulnerabilidades y entrega la carga útil del ransomware.

Publicidad maliciosa:
Los anuncios maliciosos (publicidad maliciosa) en sitios web legítimos pueden redirigir a los usuarios a sitios web que alojan ransomware. Al hacer clic en estos anuncios se puede iniciar la descarga y ejecución del código malicioso.

Ataques de abrevadero:
Los ciberdelincuentes pueden comprometer sitios web que son visitados con frecuencia por un grupo objetivo específico (como los empleados de una organización en particular). Cuando los usuarios del grupo objetivo visitan estos sitios comprometidos, pueden descargar ransomware sin darse cuenta.

Descargas no autorizadas:
El ransomware se puede distribuir mediante descargas no autorizadas, donde el malware se descarga y ejecuta automáticamente cuando un usuario visita un sitio web comprometido o malicioso sin ninguna interacción del usuario.