WoXoTo Ransomware låser offersystemer

Mens vi analyserte nye malware-eksempler, kom vi over et nytt tillegg til Xorist-familien kjent som WoXoTo. WoXoTo fungerer som løsepengeprogramvare, en ondsinnet programvare utviklet for å kryptere filer. I tillegg genererer WoXoTo to løsepenger – den oppretter filen "HVORDAN DEKRRYPTERE FILES.txt" og viser en popup-melding. Videre endrer den filnavn ved å legge til utvidelsen ".WoXoTo".

Løseseddelen kommuniserer til offeret at filene deres har gjennomgått kryptering, men beroliger dem til ikke å få panikk, og hevder at dekryptering er mulig ved betaling av løsepenger. Notatet spesifiserer betalingsmåten som Bitcoin, med løsepengebeløpet fastsatt til 0,02 BTC.

Med vekt på betydningen av nøyaktighet, instruerer notatet offeret om å bekrefte riktig Bitcoin-adresse for betaling, som er oppgitt i notatet. Etter betalingen blir offeret bedt om å kontakte gjerningsmennene via e-post på woxoto@tuta.io, ved å bruke en spesifisert emnelinje. Ved bekreftelse av betaling, lover angriperne å gi en opplæring og dekrypteringsnøkler for å muliggjøre opplåsing av de krypterte filene.

WoXoTo Ransom Note krever Bitcoin-betaling

Den fullstendige teksten til WoXoTo løsepengenotatet lyder som følger:

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

Hvordan er ransomware lik WoXoTo distribuert?

Ransomware, inkludert WoXoTo, distribueres vanligvis gjennom ulike metoder som utnytter sårbarheter i systemer eller lurer brukere til å installere den skadelige programvaren utilsiktet. Selv om spesifikke distribusjonsmetoder kan variere, er det fellestrekk i hvordan løsepengevare, inkludert WoXoTo, spres:

Phishing-e-poster:
Ransomware spres ofte gjennom phishing-e-poster som inneholder ondsinnede vedlegg eller lenker. Disse e-postene kan virke legitime og lokke mottakere til å klikke på lenker eller åpne vedlegg, noe som fører til installasjon av løsepengevaren.

Ondsinnede lenker:
Nettkriminelle kan bruke phishing-nettsteder eller kompromitterte legitime nettsteder for å distribuere løsepengeprogramvare. Brukere kan ubevisst besøke disse nettstedene, og utløse nedlasting og kjøring av den skadelige koden.

Utnyttelsessett:
Ransomware kan distribueres gjennom utnyttelsessett, som retter seg mot sårbarheter i programvare eller operativsystemer. Når en bruker besøker et kompromittert nettsted, skanner utnyttelsessettet etter sårbarheter og leverer løsepengelasten.

Malvertising:
Ondsinnede annonser (malvertising) på legitime nettsteder kan omdirigere brukere til nettsteder som er vert for løsepengeprogramvare. Ved å klikke på disse annonsene kan det starte nedlasting og utføring av den skadelige koden.

Vannhullsangrep:
Nettkriminelle kan kompromittere nettsteder som ofte besøkes av en bestemt målgruppe (som ansatte i en bestemt organisasjon). Når brukere fra den målrettede gruppen besøker disse kompromitterte nettstedene, kan de utilsiktet laste ned løsepengeprogramvare.

Drive-by-nedlastinger:
Ransomware kan leveres gjennom drive-by-nedlastinger, der malware automatisk lastes ned og kjøres når en bruker besøker et kompromittert eller ondsinnet nettsted uten brukerinteraksjon.