A WExtension Ransomware veszélyes, de visszafejthető

Úgy tűnik, hogy a WExtension Ransomware egy veszélyes rosszindulatú program, amely képes titkosítani a fájlokat a fertőzött eszközökön. Az ilyen támadások hihetetlenül veszélyesek, mert áldozataik ritkán rendelkeznek adat-helyreállítási lehetőséggel, hacsak nem férnek hozzá egy naprakész biztonsági másolathoz. Szerencsére van néhány jó hírünk a WExtension Ransomware eredetével kapcsolatban – lehet, hogy a HiddenTear Ransomware család része.

Eredetileg a HiddenTear oktatási, nyílt forráskódú projektként jelent meg, hogy megismertesse a fejlesztőket a ransomware belső működésével. A kiberbűnözők azonban éltek ezzel a lehetőséggel, és megváltoztatták a kódot, hogy a HiddenTear-t pusztító fájltárolóvá változtatták. Szerencsére az eredeti készítő szándékosan hibás fájlzárolási mechanizmust vezetett be – ez azt jelenti, hogy minden HiddenTear-re épülő projekt visszafejthető. A WExtension Ransomware nem kivétel.

Amikor a WExtension Ransomware átveszi az irányítást egy rendszeren, a „.WExtension” utótagot hozzáfűzi az általa titkosított fájlokhoz. Ezenkívül létrehozza a „read_it.txt” dokumentumot az áldozat asztalán. Végül, de nem utolsósorban, a rosszindulatú program gondoskodik a Shadow Volume Copies törléséről – ez egy tipikus trükk, amelyet a zsarolóvírus-készítők használnak. A váltságdíjüzenet azt tanácsolja az áldozatoknak, hogy fizessenek 1500 dolláros díjat Bitcoinon keresztül azért, hogy visszafejtőt szerezzenek. Elérhetőséget nem említ, így fizetés esetén sem lehetne kapcsolatba lépni a bűnözőkkel – nyilván azt tervezik, hogy kicsalják a felhasználókat a pénzükből. Soha ne fizessen a ransomware bűnözőknek. A WExtension Ransomware esetében az ingyenes HiddenTear visszafejtőt kell használnia a fájlok visszaállításához. Ezután feltétlenül távolítsa el a fenyegetést egy naprakész víruskereső eszköz használatával.