A féreglyuk zsarolóvírus zárolja az áldozatok fájljait

A Wormhole kártevő vizsgálata során megállapítottuk, hogy zsarolóprogramként működik, és elsődleges célja a fájlok titkosítása és váltságdíj követelése a visszafejtésért. A fájlok titkosítása mellett a Wormhole megváltoztatja a fájlneveket a ".Wormhole" kiterjesztéssel (pl. az "1.jpg" átnevezése "1.jpg.Wormhole", a "2.png" a "2.png.Wormhole" és így tovább ).

A zsarolóprogram egy váltságdíj-feljegyzést is tartalmaz ("Hogyan lehet visszaállítani a Wormhole.txt által titkosított fájlokat"), amely arra utasítja az áldozatokat, hogy Toxon vagy qToxon keresztül kommunikáljanak a támadókkal (letöltési hivatkozásokat biztosítva ezekhez az eszközökhöz). Azt tanácsolja az áldozatoknak, hogy állítsanak be proxyt, ha a csevegőeszköz internetkapcsolati problémákba ütközik.

Ezenkívül a jegyzet tartalmazza a támadó Tox ID-jét, amely kommunikációs célokra egyedi azonosítóként szolgál. Megkéri a címzettet, hogy küldjön egy titkosított fájlt egy féreglyuk azonosítóval együtt a teszt visszafejtéshez.

Féreglyuk váltságdíj teljes feljegyzés

A Wormhole által készített váltságdíj teljes szövege a következő:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Hogyan terjesztik a Ransomware-t általában online?

A zsarolóvírusokat gyakran online terjesztik különféle módszerekkel, gyakran szociális tervezési taktikákat és szoftverek vagy rendszerek sebezhetőségeit kihasználva. Íme néhány általános terjesztési módszer:

Adathalász e-mailek: Az egyik legelterjedtebb módszer a rosszindulatú mellékleteket vagy hivatkozásokat tartalmazó adathalász e-mailek. Ezeket az e-maileket úgy tervezték, hogy jogosnak tűnjenek, és rávehetik a felhasználókat, hogy mellékleteket nyissanak meg, vagy olyan linkekre kattintsanak, amelyek letöltik és végrehajtják a zsarolóprogramokat a rendszerükre.

Rosszindulatú linkek: A Ransomware terjeszthető e-mailben, közösségi médiában vagy azonnali üzenetküldő platformokon megosztott rosszindulatú linkeken keresztül. Az ezekre a linkekre kattintva zsarolóprogramok letöltéséhez és végrehajtásához vezethet az áldozat eszközén.

Kizsákmányoló készletek: A kiberbűnözők kihasználó készleteket használnak a szoftverek vagy webböngészők sebezhetőségeinek kihasználására. Amikor egy felhasználó felkeres egy feltört webhelyet, a kizsákmányoló készlet automatikusan letölti és zsarolóprogramokat telepít az áldozat számítógépére az áldozat tudta nélkül.

A Remote Desktop Protocol (RDP) kompromisszuma: A támadók kihasználják a távoli asztali protokoll (RDP) gyenge vagy alapértelmezett hitelesítő adatait, hogy illetéktelenül hozzáférjenek az áldozat rendszeréhez. A bejutást követően zsarolóprogramokat telepítenek a fájlok titkosításához, és váltságdíjat követelnek.

Rosszindulatú hirdetések: A törvényes webhelyeken megjelenő rosszindulatú hirdetések (rosszindulatú hirdetések) átirányíthatják a felhasználókat a ransomware-t tartalmazó webhelyekre. Ezek a hirdetések népszerű webhelyeken jelenhetnek meg, és a felhasználó böngészőjének vagy bővítményeinek sebezhetőségeit kihasználva zsarolóprogramokat juttathatnak el.