WannaCry 3.0 Ransomware distribuert i falske spillinstallatører

WannaCry 3.0 er som et løsepengeprogram som forkler seg som en ny iterasjon av den beryktede WannaCry løsepengevaren. Slike bedragerprogrammer utnytter ofte ryktet til sine forgjengere.

Interessant nok er WannaCry 3.0 faktisk basert på åpen kildekode Crypter (Python) løsepengeprogramvare. Ransomware faller inn under kategorien malware designet for å kryptere data og kreve betaling for dekryptering.

Under vår testing, krypterte WannaCry 3.0 filene på testmaskinen vår og la til en ".wncry"-utvidelse til filnavnene deres, noe som speilet oppførselen til den ekte WannaCry-varianten. For eksempel vil en fil opprinnelig kalt "1.jpg" vises som "1.jpg.wncry", mens "2.png" vil bli "2.png.wncry" og så videre. Videre slettet løsepengevaren Volume Shadow Copies og fortsatte med å endre skrivebordsbakgrunnen, ledsaget av et popup-vindu som viste løsepenger.

Spesielt har distribusjonen av WannaCry 3.0 løsepengevare blitt observert gjennom villedende oppsett som er maskert som videospillinstallasjoner. Rapporter har indikert at WannaCry 3.0 løsepengevare har blitt spredt gjennom forfalskede installatører av enlisted multiplayer førstepersons skytespill, spesifikt rettet mot russiske spillere. De manipulerte installatørene ble distribuert via et russiskspråklig nettsted, og utnyttet Enlisteds status som et gratis spill.

Ved lansering av installasjonsprogrammet som ble lastet ned fra det uredelige nettstedet, ble to kjørbare filer droppet: "ENLIST~1," som representerer selve videospillet, og "enlisted", som introduserte WannaCry 3.0 løsepengevare i systemet.

Ofre møter en melding på skrivebordsbakgrunnen som varsler dem om kryptering av filene deres og gir instruksjoner om hvordan de får tilgang til ytterligere informasjon hvis løsepengevarens popup-vindu er blokkert.

I henhold til popup-vinduet er de krypterte filene utilgjengelige på grunn av kryptering ved hjelp av AES-256 kryptografiske algoritme. Dekrypteringsnøkkelen som kreves for å gjenopprette de berørte dataene er utelukkende i besittelse av angriperne.

De nettkriminelle gir ofrene en tre dagers frist til å kontakte dem og betale løsepenger. Unnlatelse av å overholde den gitte tidsrammen resulterer i permanent sletting av dekrypteringsnøkkelen, noe som fører til ugjenkallelig tap av data. Løsepengenotatet advarer mot forsøk på å fjerne løsepengevaren eller bruke antivirusprogramvare, da disse handlingene gjør filene uopprettelige.

WannaCry 3.0 bruker Telegram Bot for kontakt

Den fullstendige teksten til løsepengene generert av WannaCry 3.0 lyder som følger:

WannaCry 3.0
DINE FILER ER KRYPTERT!

Kontakt vår bot i Telegram: wncry_support_bot

Hva skjedde med datamaskinen min?

De viktige filene på datamaskinen din er kryptert med militær klasse AES-256 bit kryptering.
Dokumentene, videoene, bildene og andre former for data er nå utilgjengelige og kan ikke låses opp uten dekrypteringsnøkkelen.
Denne nøkkelen lagres for øyeblikket på en ekstern server.

For å skaffe denne nøkkelen, kontakt vår Telegram Bot: wncry_support_bot, og overfør dekrypteringsgebyret til den angitte lommebokadressen før tiden renner ut.
Hvis du ikke gjør noe innen dette tidsvinduet, vil dekrypteringsnøkkelen bli ødelagt og tilgangen til filene dine vil gå permanent tapt.
Kanskje du er opptatt med å lete etter en måte å gjenopprette filene dine på, men ikke kast bort tiden din. Ingen kan gjenopprette filene dine uten vår dekrypteringstjeneste.

Kan jeg gjenopprette filene mine?

Sikker. Vi garanterer at du kan gjenopprette alle filene dine trygt og enkelt. Men du har ikke så nok tid.
Men hvis du vil dekryptere alle filene dine, må du betale.
Du har kun 3 dager på deg til å sende inn betalingen.
Hvis du ikke klarer å betale på 3 dager, vil du ikke kunne gjenopprette filene dine for alltid.

Hvordan betaler jeg?

Kontakt vår bot i Telegram: wncry_support_bot

VI ANBEFALER DEG STERKELIG Å IKKE FJERNE DENNE PROGRAMVAREN, OG DEAKTIVER ANTI-VIRUSET DIN FOR EN STUND, FØR DU BETALER OG BETALINGEN BLIR BEHANDLET.
HVIS ANTI-VIRUSET DITT BLIR OPPDATERT OG FJERNER DENNE PROGRAMVAREN AUTOMATISK, VIL DEN IKKE KUNNE GJENOPPINNE FILENE DINE SELV OM DU BETALER!

Hvordan kan du beskytte filene dine mot ransomware?

Å sikre sikkerheten til filene dine mot løsepengevare krever implementering av en kombinasjon av forebyggende tiltak og proaktiv praksis. Her er noen viktige trinn for å beskytte filene dine mot løsepengeprogramvare:

• Sikkerhetskopier filene dine regelmessig: Oppretthold regelmessige sikkerhetskopier av viktige data på eksterne enheter eller skylagring. På denne måten, selv om filene dine blir krypterte eller utilgjengelige på grunn av løsepengeprogramvare, kan du gjenopprette dem fra en sikker sikkerhetskopi.
• Bruk robust sikkerhetsprogramvare: Installer anerkjent antivirus- og anti-malware-programvare på enhetene dine. Hold programvaren oppdatert og aktiver funksjoner for automatisk skanning og sanntidsbeskyttelse. Dette hjelper til med å oppdage og blokkere løsepengevaretrusler før de kan kompromittere filene dine.
• Hold operativsystemet og programvaren oppdatert: Oppdater regelmessig operativsystemet, applikasjonene og programvaren med de nyeste sikkerhetsoppdateringene og feilrettingene. Programvareoppdateringer inkluderer ofte sikkerhetsforbedringer som kan beskytte mot kjente sårbarheter som ransomware utnytter.
• Vær forsiktig med e-postvedlegg og lenker: Vær på vakt når du åpner e-postvedlegg eller klikker på lenker, spesielt hvis de kommer fra ukjente eller mistenkelige kilder. Ransomware spres ofte gjennom phishing-kampanjer på e-post, så vær forsiktig og samhandle kun med pålitelige kilder.

Vær forsiktig med å laste ned fra ubekreftede kilder: Unngå å laste ned programvare, filer eller medieinnhold fra upålitelige eller uoffisielle kilder. Hold deg til anerkjente nettsteder og offisielle appbutikker for å minimere risikoen for å laste ned løsepengevare-ladede filer.