Wormhole Ransomware blokuje pliki ofiar

Podczas naszego badania szkodliwego oprogramowania Wormhole ustaliliśmy, że działa ono jak oprogramowanie ransomware, którego głównym celem jest szyfrowanie plików i żądanie okupu za odszyfrowanie. Oprócz szyfrowania plików Wormhole zmienia nazwy plików, dodając rozszerzenie „.Wormhole” (np. zmieniając nazwę „1.jpg” na „1.jpg.Wormhole”, „2.png” na „2.png.Wormhole” i tak dalej ).

Ransomware zawiera również żądanie okupu („Jak odzyskać pliki zaszyfrowane przez Wormhole.txt”), które instruuje ofiary, aby komunikowały się z atakującymi za pośrednictwem Tox lub qTox (zawierając łącza do pobrania tych narzędzi). Radzi ofiarom skonfigurowanie serwera proxy, jeśli narzędzie czatu napotka problemy z połączeniem internetowym.

Co więcej, notatka zawiera Tox ID atakującego, który służy jako unikalny identyfikator do celów komunikacyjnych. Żąda od odbiorcy przesłania zaszyfrowanego pliku wraz z identyfikatorem tunelu czasoprzestrzennego w celu testowego odszyfrowania.

Pełna treść żądania okupu z tunelu czasoprzestrzennego

Pełny tekst żądania okupu sporządzonego przez Wormhole wygląda następująco:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

W jaki sposób oprogramowanie ransomware jest powszechnie dystrybuowane w Internecie?

Oprogramowanie ransomware jest powszechnie dystrybuowane w Internecie różnymi metodami, często wykorzystując taktyki inżynierii społecznej i luki w zabezpieczeniach oprogramowania lub systemów. Oto kilka typowych metod dystrybucji:

E-maile phishingowe: Jedną z najpowszechniejszych metod są e-maile phishingowe zawierające złośliwe załączniki lub łącza. Te e-maile mają wyglądać na wiarygodne i mogą nakłonić użytkowników do otwarcia załączników lub kliknięcia łączy pobierających i uruchamiających oprogramowanie ransomware w ich systemach.

Złośliwe łącza: oprogramowanie ransomware może być dystrybuowane za pośrednictwem złośliwych łączy udostępnianych za pośrednictwem poczty elektronicznej, mediów społecznościowych lub platform komunikatorów internetowych. Kliknięcie tych linków może spowodować pobranie i uruchomienie oprogramowania ransomware na urządzeniu ofiary.

Zestawy exploitów: Cyberprzestępcy korzystają z zestawów exploitów w celu wykorzystania luk w zabezpieczeniach oprogramowania lub przeglądarek internetowych. Gdy użytkownik odwiedza zaatakowaną witrynę internetową, zestaw exploitów automatycznie pobiera i instaluje oprogramowanie ransomware na komputerze ofiary bez jej wiedzy.

Naruszenie protokołu Remote Desktop Protocol (RDP): osoby atakujące wykorzystują słabe lub domyślne poświadczenia protokołu Remote Desktop Protocol (RDP), aby uzyskać nieautoryzowany dostęp do systemu ofiary. Po wejściu do środka wdrażają oprogramowanie ransomware do szyfrowania plików i żądają okupu.

Złośliwe reklamy: złośliwe reklamy (złośliwe reklamy) w legalnych witrynach internetowych mogą przekierowywać użytkowników do witryn zawierających oprogramowanie ransomware. Reklamy te mogą pojawiać się na popularnych stronach internetowych i wykorzystywać luki w przeglądarce użytkownika lub wtyczkach w celu dostarczania oprogramowania ransomware.