Wormhole Ransomware låser ofrenes filer

I vår undersøkelse av Wormhole-malwaren fant vi ut at den fungerer som løsepengevare med hovedmålet å kryptere filer og kreve løsepenger for dekryptering. Ved siden av kryptering av filer endrer Wormhole filnavn ved å legge til filtypen ".Wormhole" (f.eks. gi nytt navn til "1.jpg" til "1.jpg.Wormhole", "2.png" til "2.png.Wormhole" og så videre ).

Løsepengevaren presenterer også en løsepengenotat ("Hvordan gjenopprette filer kryptert med Wormhole.txt") som instruerer ofrene til å kommunisere med angriperne via Tox eller qTox (som gir nedlastingslenker for disse verktøyene). Det råder ofre til å konfigurere en proxy hvis chat-verktøyet støter på problemer med Internett-tilkobling.

I tillegg inneholder notatet angriperens Tox ID, som fungerer som en unik identifikator for kommunikasjonsformål. Den ber mottakeren sende en kryptert fil sammen med en ormehull-ID for testdekryptering.

Wormhole Ransom Note i sin helhet

Den fullstendige teksten til løsepengene produsert av Wormhole går som følger:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Hvordan distribueres ransomware ofte på nettet?

Ransomware distribueres ofte på nettet gjennom ulike metoder, ofte ved å utnytte sosial ingeniørtaktikk og sårbarheter i programvare eller systemer. Her er noen vanlige distribusjonsmetoder:

Phishing-e-poster: En av de mest utbredte metodene er gjennom phishing-e-poster som inneholder ondsinnede vedlegg eller lenker. Disse e-postene er laget for å virke legitime og kan lure brukere til å åpne vedlegg eller klikke på lenker som laster ned og kjører løsepengeprogramvare på systemene deres.

Ondsinnede lenker: Ransomware kan distribueres gjennom ondsinnede lenker som deles via e-post, sosiale medier eller direktemeldingsplattformer. Å klikke på disse koblingene kan føre til nedlasting og kjøring av løsepengevare på offerets enhet.

Utnyttelsessett: Nettkriminelle bruker utnyttelsessett for å utnytte sårbarheter i programvare eller nettlesere. Når en bruker besøker et kompromittert nettsted, laster utnyttelsessettet automatisk ned og installerer løsepengevare på offerets datamaskin uten deres viten.

Remote Desktop Protocol (RDP) Kompromiss: Angripere utnytter svak eller standard legitimasjon for Remote Desktop Protocol (RDP) for å få uautorisert tilgang til et offers system. Når de er inne, distribuerer de løsepenger for å kryptere filer og krever løsepenger.

Malvertising: Ondsinnede annonser (malvertising) på legitime nettsteder kan omdirigere brukere til nettsteder som er vert for løsepengeprogramvare. Disse annonsene kan vises på populære nettsteder og utnytte sårbarheter i brukerens nettleser eller plugins for å levere løsepengeprogramvare.