WoXoTo Ransomware blocca i sistemi delle vittime

Analizzando nuovi campioni di malware, ci siamo imbattuti in una nuova aggiunta alla famiglia Xorist nota come WoXoTo. WoXoTo funziona come ransomware, un software dannoso progettato per crittografare i file. Inoltre, WoXoTo genera due richieste di riscatto: crea il file "HOW TO DECRYPT FILES.txt" e visualizza un messaggio pop-up. Inoltre, altera i nomi dei file aggiungendo l'estensione ".WoXoTo".

La richiesta di riscatto comunica alla vittima che i suoi file sono stati crittografati, ma la rassicura di non farsi prendere dal panico, affermando che la decrittazione è possibile dietro pagamento di un riscatto. La nota specifica il metodo di pagamento come Bitcoin, con l'importo del riscatto fissato a 0,02 BTC.

Sottolineando l'importanza dell'accuratezza, la nota indica alla vittima di confermare l'indirizzo Bitcoin corretto per il pagamento, fornito all'interno della nota. Dopo il pagamento, la vittima è invitata a contattare gli autori del reato tramite e-mail all'indirizzo woxoto@tuta.io, utilizzando l'oggetto specificato. Alla conferma del pagamento, gli aggressori si impegnano a fornire un tutorial e le chiavi di decrittazione per consentire lo sblocco dei file crittografati.

La richiesta di riscatto di WoXoTo richiede il pagamento in Bitcoin

Il testo completo della richiesta di riscatto di WoXoTo recita come segue:

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

In che modo il ransomware è simile a WoXoTo distribuito?

Il ransomware, incluso WoXoTo, viene generalmente distribuito attraverso vari metodi che sfruttano le vulnerabilità dei sistemi o inducono gli utenti a installare inavvertitamente software dannoso. Sebbene i metodi di distribuzione specifici possano variare, esistono punti in comune nel modo in cui il ransomware, incluso WoXoTo, viene diffuso:

E-mail di phishing:
Il ransomware si diffonde spesso tramite e-mail di phishing contenenti allegati o collegamenti dannosi. Queste e-mail possono apparire legittime e invogliare i destinatari a fare clic su collegamenti o aprire allegati, portando all'installazione del ransomware.

Collegamenti dannosi:
I criminali informatici possono utilizzare siti Web di phishing o siti legittimi compromessi per distribuire ransomware. Gli utenti potrebbero visitare inconsapevolmente questi siti, innescando il download e l'esecuzione del codice dannoso.

Kit di exploit:
Il ransomware può essere distribuito tramite kit di exploit, che prendono di mira le vulnerabilità nel software o nei sistemi operativi. Quando un utente visita un sito Web compromesso, l'exploit kit esegue la scansione delle vulnerabilità e distribuisce il carico utile del ransomware.

Malvertising:
Le pubblicità dannose (malvertising) su siti Web legittimi possono reindirizzare gli utenti a siti Web che ospitano ransomware. Facendo clic su questi annunci è possibile avviare il download e l'esecuzione del codice dannoso.

Attacchi alle pozze d'acqua:
I criminali informatici possono compromettere i siti web visitati di frequente da un determinato gruppo target (ad esempio i dipendenti di una determinata organizzazione). Quando gli utenti del gruppo preso di mira visitano questi siti compromessi, potrebbero inavvertitamente scaricare ransomware.

Download guidati:
Il ransomware può essere distribuito tramite download drive-by, in cui il malware viene scaricato ed eseguito automaticamente quando un utente visita un sito Web compromesso o dannoso senza alcuna interazione da parte dell'utente.