WoXoTo Ransomware vergrendelt slachtoffersystemen

Tijdens het analyseren van nieuwe malwaremonsters kwamen we een nieuwe toevoeging aan de Xorist-familie tegen, bekend als WoXoTo. WoXoTo werkt als ransomware, kwaadaardige software die is ontworpen om bestanden te versleutelen. Bovendien genereert WoXoTo twee losgeldbriefjes: het creëert het bestand "HOW TO DECRYPT FILES.txt" en geeft een pop-upbericht weer. Bovendien verandert het de bestandsnamen door de extensie ".WoXoTo" toe te voegen.

Het losgeldbriefje communiceert met het slachtoffer dat hun bestanden zijn versleuteld, maar verzekert hen dat ze niet in paniek raken en beweert dat decodering mogelijk is tegen betaling van losgeld. In het briefje wordt als betalingsmethode Bitcoin vermeld, waarbij het losgeldbedrag is vastgesteld op 0,02 BTC.

Om het belang van nauwkeurigheid te benadrukken, instrueert het briefje het slachtoffer om het juiste Bitcoin-adres voor betaling te bevestigen, dat in het briefje staat vermeld. Na de betaling wordt het slachtoffer gevraagd contact op te nemen met de daders via e-mail op woxoto@tuta.io, met een gespecificeerde onderwerpregel. Na bevestiging van de betaling beloven de aanvallers een tutorial en decoderingssleutels te verstrekken om het ontgrendelen van de gecodeerde bestanden mogelijk te maken.

WoXoTo losgeldbriefje eist Bitcoin-betaling

De volledige tekst van het WoXoTo-losgeldbriefje luidt als volgt:

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

Hoe wordt Ransomware vergelijkbaar met WoXoTo gedistribueerd?

Ransomware, waaronder WoXoTo, wordt doorgaans verspreid via verschillende methoden die misbruik maken van kwetsbaarheden in systemen of gebruikers ertoe verleiden de schadelijke software per ongeluk te installeren. Hoewel specifieke distributiemethoden kunnen variëren, zijn er overeenkomsten in de manier waarop ransomware, waaronder WoXoTo, wordt verspreid:

Phishing-e-mails:
Ransomware verspreidt zich vaak via phishing-e-mails die kwaadaardige bijlagen of links bevatten. Deze e-mails kunnen legitiem lijken en de ontvangers ertoe aanzetten op links te klikken of bijlagen te openen, wat leidt tot de installatie van de ransomware.

Schadelijke koppelingen:
Cybercriminelen kunnen phishingwebsites of gecompromitteerde legitieme sites gebruiken om ransomware te verspreiden. Gebruikers kunnen deze sites onbewust bezoeken, waardoor de kwaadaardige code wordt gedownload en uitgevoerd.

Exploitkits:
Ransomware kan worden verspreid via exploitkits, die zich richten op kwetsbaarheden in software of besturingssystemen. Wanneer een gebruiker een gecompromitteerde website bezoekt, scant de exploitkit op kwetsbaarheden en levert de ransomware-payload.

Malvertising:
Schadelijke advertenties (malvertising) op legitieme websites kunnen gebruikers omleiden naar websites die ransomware hosten. Als u op deze advertenties klikt, kan het downloaden en uitvoeren van de schadelijke code worden gestart.

Watering Hole-aanvallen:
Cybercriminelen kunnen websites die veel bezocht worden door een specifieke doelgroep (zoals medewerkers van een bepaalde organisatie) compromitteren. Wanneer gebruikers uit de doelgroep deze besmette sites bezoeken, kunnen ze onbedoeld ransomware downloaden.

Drive-by-downloads:
Ransomware kan worden geleverd via drive-by downloads, waarbij malware automatisch wordt gedownload en uitgevoerd wanneer een gebruiker een gecompromitteerde of kwaadaardige website bezoekt zonder enige gebruikersinteractie.