Kampania WickrMe Ransomware trwa po przestarzałych serwerach Microsoft SharePoint
WickrMe Ransomware (zwane także Hello Ransomware) to niebezpieczny trojan szyfrujący pliki, który jest do tej pory używany przeciwko bardzo konkretnemu zestawowi celów. Należy dodać, że nie ma to nic wspólnego z usługami przesyłania wiadomości WickrMe. Twórcy tego szkodliwego oprogramowania nie rozprzestrzeniają go na przypadkowych użytkowników w Internecie, a zamiast tego przeprowadzają starannie zaplanowane ataki na podatne na ataki serwery Microsoft SharePoint. Oczywiście administratorzy systemów, którzy aktualizują swoje oprogramowanie, nie są zagrożeni tym atakiem, ponieważ kampania WickrMe Ransomware opiera się na luce, która sięga 2019 roku. Niestety, wiele systemów jest nadal podatnych na ataki z powodu działania nieaktualnego oprogramowania oraz są dokładnym celem WickrMe Ransomware.
Oprócz stosunkowo specjalnego wektora infekcji, WickrMe Ransomware zachowuje się tak samo jak inne trojany szyfrujące pliki. Jego atak obejmuje kilka etapów, które nie są niezwykłe:
- Wyłącza procesy używane przez oprogramowanie do zarządzania bazami danych i inne narzędzia, które mogą uniemożliwić złośliwemu oprogramowaniu dostęp do plików, które chce zaszyfrować.
- Skanuje partycje dysku w poszukiwaniu typów plików, które ma zaszyfrować, a następnie blokuje ich zawartość.
- Dołącza przyrostek „.hello” do nazw plików, które blokuje.
- Porzuca żądanie okupu „Readme !!!. Txt”, które zawiera niestandardowe wiadomości e-mail dla tej konkretnej ofiary.
Oczywiście przestępcy żądają zapłaty okupu za pośrednictwem Bitcoin. Oprócz e-maili przestępcy podają również nazwy użytkowników WickrMe, za pomocą których można się z nimi skontaktować - po raz pierwszy z tej usługi korzystają operatorzy ransomware.
Niestety, szyfrowanie WickrMe Ransomware jest nie do złamania, a bezpłatne oprogramowanie deszyfrujące nie wchodzi w grę. Ofiary tego ataku nie powinny jednak godzić się na współpracę z napastnikami, ponieważ ryzyko oszustwa jest zbyt wysokie. Zamiast kontaktować się z cyberprzestępcami, ofiary WickrMe Ransomware powinny użyć oprogramowania antywirusowego w celu wyeliminowania zagrożenia, a następnie spróbować przywrócić pliki za pomocą kopii zapasowej lub popularnego oprogramowania do odzyskiwania.