„Wormhole Ransomware“ užrakina aukų failus

Tirdami „Wormhole“ kenkėjišką programą nustatėme, kad ji veikia kaip išpirkos reikalaujanti programa, kurios pagrindinis tikslas yra užšifruoti failus ir reikalauti išpirkos už iššifravimą. Be failų šifravimo, Wormhole keičia failų pavadinimus pridėdama plėtinį „.Wormhole“ (pvz., „1.jpg“ pervardija į „1.jpg.Wormhole“, „2.png“ į „2.png.Wormhole“ ir pan. ).

Išpirkos reikalaujančioje programoje taip pat pateikiamas užrašas dėl išpirkos („Kaip atkurti Wormhole.txt užšifruotus failus“), kuriame aukoms nurodoma susisiekti su užpuolikais naudojant „Tox“ arba „qTox“ (pateikiamos šių įrankių atsisiuntimo nuorodos). Ji pataria aukoms sukonfigūruoti tarpinį serverį, jei pokalbių įrankis susiduria su interneto ryšio problemomis.

Be to, pastaboje yra užpuoliko Tox ID, kuris naudojamas kaip unikalus identifikatorius komunikacijos tikslais. Ji prašo gavėjo atsiųsti užšifruotą failą kartu su „Wormhole“ ID, kad būtų galima bandyti iššifruoti.

Visas užrašas apie kirmgraužą

Visas Wormhole išpirkos rašto tekstas yra toks:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Kaip „Ransomware“ dažniausiai platinama internete?

Išpirkos reikalaujančios programos dažniausiai platinamos internete įvairiais metodais, dažnai pasitelkiant socialinės inžinerijos taktiką ir programinės įrangos ar sistemų pažeidžiamumą. Štai keletas bendrų platinimo būdų:

Sukčiavimo el. laiškai: vienas iš labiausiai paplitusių būdų yra sukčiavimo el. laiškai, kuriuose yra kenkėjiškų priedų ar nuorodų. Šie el. laiškai sukurti taip, kad atrodytų teisėti ir gali priversti vartotojus atidaryti priedus arba spustelėti nuorodas, kurios atsisiunčia ir paleidžia išpirkos programas į jų sistemas.

Kenkėjiškos nuorodos: Ransomware gali būti platinama naudojant kenkėjiškas nuorodas, bendrinamas el. paštu, socialinėje žiniasklaidoje arba momentinių pranešimų platformose. Spustelėjus šias nuorodas, aukos įrenginyje gali būti atsiųsta ir vykdoma išpirkos reikalaujanti programinė įranga.

Išnaudojimo rinkiniai: Kibernetiniai nusikaltėliai naudoja išnaudojimo rinkinius, kad išnaudotų programinės įrangos ar žiniatinklio naršyklių pažeidžiamumą. Kai vartotojas apsilanko pažeistoje svetainėje, išnaudojimo rinkinys automatiškai atsisiunčia ir įdiegia išpirkos reikalaujančią programinę įrangą į aukos kompiuterį be jo žinios.

Nuotolinio darbalaukio protokolo (RDP) kompromisas: užpuolikai išnaudoja silpnus arba numatytuosius nuotolinio darbalaukio protokolo (RDP) kredencialus, kad gautų neteisėtą prieigą prie aukos sistemos. Patekę į vidų, jie įdiegia išpirkos reikalaujančią programinę įrangą, kad užšifruotų failus ir reikalautų išpirkos.

Kenkėjiška reklama: kenkėjiškos reklamos (kenkėjiškas reklamavimas) teisėtose svetainėse gali nukreipti vartotojus į svetaines, kuriose yra išpirkos reikalaujančios programos. Šie skelbimai gali būti rodomi populiariose svetainėse ir išnaudoti vartotojo naršyklės arba papildinių pažeidžiamumą, kad būtų pristatyta išpirkos reikalaujanti programa.