Wzer Ransomware blocca i file delle vittime
Durante l'esame di nuovi campioni di malware, il nostro team si è imbattuto nel ransomware Wzer, collegato alla famiglia Djvu. Quando si infiltra in un computer, Wzer crittografa vari file e aggiunge l'estensione ".wzer" ai loro nomi originali. Ad esempio, un file denominato "1.jpg" viene trasformato in "1.jpg.wzer", mentre "2.png" diventa "2.png.wzer" e così via.
Oltre alla sua funzione primaria di crittografare i file, Wzer genera una richiesta di riscatto che appare come un file di testo chiamato "_readme.txt". Inoltre, la distribuzione di Wzer potrebbe comportare la collaborazione con malware che rubano informazioni come Vidar e RedLine.
La richiesta di riscatto all'interno del file "_readme.txt" sottolinea che la decrittazione dei file si basa sull'utilizzo di un software di decrittazione specifico e di una chiave univoca. Alle vittime viene chiesto di stabilire un contatto con gli aggressori tramite gli indirizzi e-mail forniti (support@freshmail.top o datarestorehelp@airmail.cc) per ulteriori indicazioni.
Inoltre, la richiesta di riscatto presenta due importi diversi: $ 980 e $ 490, indicando che le vittime possono potenzialmente ottenere gli strumenti di decrittazione a un prezzo ridotto se comunicano con gli aggressori entro una finestra di 72 ore.
La richiesta di riscatto di Wzer richiede $ 490 come pagamento di riscatto
Il testo completo della richiesta di riscatto di Wzer recita come segue:
ATTENZIONE!
Non preoccuparti, puoi restituire tutti i tuoi file!
Tutti i tuoi file come immagini, database, documenti e altri importanti sono crittografati con la crittografia più potente e una chiave univoca.
L'unico metodo per recuperare i file è acquistare uno strumento di decrittografia e una chiave univoca per te.
Questo software decodificherà tutti i tuoi file crittografati.
Che garanzie hai?
Puoi inviare uno dei tuoi file crittografati dal tuo PC e noi lo decodificheremo gratuitamente.
Ma possiamo decrittografare solo 1 file gratuitamente. Il file non deve contenere informazioni preziose.
Puoi ottenere e guardare lo strumento di decrittografia della panoramica video:
hxxps://we.tl/t-E3ktviSmlG
Il prezzo della chiave privata e del software di decrittografia è di $ 980.
Sconto del 50% disponibile se ci contatti nelle prime 72 ore, il prezzo per te è $ 490.
Tieni presente che non ripristinerai mai i tuoi dati senza pagamento.
Controlla la cartella "Spam" o "Posta indesiderata" della tua posta elettronica se non ricevi risposta per più di 6 ore.Per ottenere questo software è necessario scrivere alla nostra e-mail:
support@freshmail.topRiserva l'indirizzo email per contattarci:
datarestorehelp@airmail.ccIl tuo ID personale:
Come viene distribuito online il ransomware come Wzer?
I ransomware come Wzer vengono generalmente distribuiti attraverso vari metodi che sfruttano le vulnerabilità dei sistemi informatici o sfruttano il comportamento umano. Alcuni metodi di distribuzione comuni includono:
- Allegati e-mail dannosi: i criminali informatici spesso inviano e-mail di phishing contenenti allegati dannosi, come documenti o file eseguibili infetti. Questi allegati possono essere progettati per sembrare file legittimi e quando la vittima li apre, il ransomware viene eseguito.
- Installatori di software infetti: i criminali informatici possono compromettere gli installatori di software legittimi o creare versioni false di software popolare. Quando gli utenti scaricano e installano questi file infetti, il ransomware viene installato segretamente insieme.
- Collegamenti dannosi: le e-mail o i messaggi di phishing potrebbero contenere collegamenti a siti Web che ospitano il ransomware. Facendo clic su questi collegamenti è possibile scaricare e installare automaticamente il ransomware.
- Kit di exploit: i criminali informatici possono utilizzare kit di exploit, ovvero pacchetti software dannosi progettati per sfruttare le vulnerabilità di browser Web, plug-in o altri software. Quando un utente visita un sito Web compromesso, l'exploit kit rileva le vulnerabilità e distribuisce il carico utile del ransomware.
- Attacchi RDP (Remote Desktop Protocol): gli aggressori prendono di mira i sistemi con credenziali RDP deboli o vulnerabilità note. Una volta ottenuto l'accesso remoto, installano il ransomware.
- Malvertising: annunci pubblicitari dannosi su siti Web legittimi possono portare gli utenti a siti Web dannosi che ospitano il ransomware. La semplice visita del sito compromesso potrebbe attivare il download e l'installazione del ransomware.
- Reti peer-to-peer e software piratato: download di software illegittimi da reti peer-to-peer o versioni di software crackate/pirata possono contenere payload ransomware nascosti.
- Download drive-by: i criminali informatici possono utilizzare siti Web compromessi per fornire malware ai sistemi dei visitatori senza alcuna interazione da parte dell'utente. Le vulnerabilità del browser o dei suoi plugin vengono sfruttate per avviare il download e l'esecuzione del ransomware.