Ransomware WANA CRY próbuje ukraść Thunder Wannacry

Z naszego badania nowych próbek złośliwego oprogramowania wynika, że WANA CRY to forma oprogramowania ransomware naśladującego inne dobrze znane oprogramowanie ransomware o nazwie WannaCry. WANA CRY wywodzi się z oprogramowania ransomware Chaos i ma za zadanie przede wszystkim szyfrować pliki. Dodatkowo zmienia tapetę pulpitu, generuje żądanie okupu o nazwie „read_it.txt” i dodaje cztery losowe znaki do nazw plików.

Ilustracją tego, jak WANA CRY modyfikuje nazwy plików, jest przekształcanie „1.jpg” w „1.jpg.4bkv”, „2.png” w „2.png.t29o” i tak dalej.

Notatka z żądaniem okupu informuje ofiarę, że jej dane są zaszyfrowane i podkreśla, że odszyfrowanie bez pomocy atakujących jest niemożliwe. Aby odzyskać dostęp do zaszyfrowanych danych, ofiara jest kierowana do zakupu specjalistycznego oprogramowania deszyfrującego w cenie 1500 dolarów. Wyraźnie określono, że płatność ma być dokonana w Bitcoin.

Co więcej, żądanie okupu zawiera szczegóły płatności, w tym kwotę w Bitcoinie (0,1473766 BTC) i adres Bitcoin do płatności.

List okupu „WANA CRY” trzyma się tematu

Pełny tekst krótkiego żądania okupu wygenerowanego przez WANA CRY brzmi następująco:

WANA CRY @rivator_max

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?You can buy our special
decryption software, this software will allow you to recover all of your data and remove the
ransomware from your computer.The price for the software is $1,500. Payment can be made in Bitcoin only.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search
yourself to find out how to buy Bitcoin.
Many of our customers have reported these sites to be fast and reliable:
Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.com

Payment informationAmount: 0.1473766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

W jaki sposób oprogramowanie ransomware może przeniknąć do Twojego systemu?

Ransomware może przedostać się do systemu różnymi metodami, często wykorzystując luki w zabezpieczeniach i ludzkie zachowania. Oto typowe sposoby, w jakie oprogramowanie ransomware może przedostać się do systemu:

• E-maile phishingowe: Jedną z najpopularniejszych metod są e-maile phishingowe. Cyberprzestępcy wysyłają e-maile zawierające złośliwe załączniki lub łącza, które po kliknięciu pobierają i uruchamiają oprogramowanie ransomware w systemie ofiary. Te e-maile często podszywają się pod legalne źródła, przez co wydają się godne zaufania.
• Złośliwe strony internetowe i reklamy: odwiedzanie zainfekowanych witryn lub klikanie złośliwych reklam online może prowadzić do pobrania i instalacji oprogramowania ransomware. Strony te mogą wykorzystywać luki w zabezpieczeniach przeglądarki lub wykorzystywać techniki inżynierii społecznej, aby nakłonić użytkowników do pobrania złośliwej zawartości.
• Wykorzystywanie luk w oprogramowaniu: Ransomware może wykorzystywać luki w oprogramowaniu lub systemach operacyjnych w celu uzyskania nieautoryzowanego dostępu. Aby ograniczyć ryzyko wykorzystania, niezwykle ważne jest aktualizowanie oprogramowania i systemów operacyjnych za pomocą najnowszych poprawek zabezpieczeń.
• Złośliwe linki w wiadomościach lub mediach społecznościowych: Cyberprzestępcy mogą rozpowszechniać oprogramowanie ransomware za pośrednictwem łączy udostępnianych w wiadomościach lub na platformach mediów społecznościowych. Linki te po kliknięciu mogą prowadzić do złośliwych witryn internetowych lub inicjować pobieranie złośliwych plików.
• Złośliwe reklamy: cyberprzestępcy mogą naruszać sieci reklamowe online i wyświetlać złośliwe reklamy w legalnych witrynach. Kliknięcie tych reklam lub odwiedzenie odpowiednich witryn może spowodować pobranie oprogramowania ransomware.
• Ataki na protokół Remote Desktop Protocol (RDP): osoby atakujące mogą wykorzystać słabe lub zagrożone połączenia protokołu Remote Desktop Protocol w celu uzyskania dostępu do systemu. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware.