WoXoTo Ransomware blokuje systemy ofiar

Analizując nowe próbki złośliwego oprogramowania, natknęliśmy się na nowatorski dodatek do rodziny Xorist znany jako WoXoTo. WoXoTo działa jako ransomware, złośliwe oprogramowanie przeznaczone do szyfrowania plików. Dodatkowo WoXoTo generuje dwa żądania okupu – tworzy plik „HOW TO DECRYPT FILES.txt” i wyświetla wyskakujący komunikat. Ponadto zmienia nazwy plików poprzez dodanie rozszerzenia „.WoXoTo”.

Notatka z żądaniem okupu informuje ofiarę, że jej pliki zostały zaszyfrowane, ale zapewnia ją, aby nie panikowała, twierdząc, że odszyfrowanie jest możliwe po zapłaceniu okupu. W nocie określono metodę płatności jako Bitcoin, a kwota okupu wynosi 0,02 BTC.

Podkreślając znaczenie dokładności, notatka instruuje ofiarę, aby potwierdziła prawidłowy adres Bitcoin do płatności, który jest podany w notatce. Po dokonaniu płatności ofiara proszona jest o skontaktowanie się ze sprawcami za pośrednictwem poczty elektronicznej na adres woxoto@tuta.io, podając określony temat. Po potwierdzeniu płatności napastnicy zobowiązują się do dostarczenia samouczka i kluczy deszyfrujących, aby umożliwić odblokowanie zaszyfrowanych plików.

WoXoTo z żądaniem okupu żąda płatności w Bitcoinach

Pełny tekst żądania okupu WoXoTo brzmi następująco:

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

W jaki sposób oprogramowanie ransomware jest podobne do WoXoTo?

Ransomware, w tym WoXoTo, jest zazwyczaj dystrybuowane różnymi metodami, które wykorzystują luki w zabezpieczeniach systemów lub nakłaniają użytkowników do nieumyślnej instalacji złośliwego oprogramowania. Chociaż konkretne metody dystrybucji mogą się różnić, istnieją podobieństwa w sposobie rozpowszechniania oprogramowania ransomware, w tym WoXoTo:

E-maile phishingowe:
Ransomware często rozprzestrzenia się poprzez wiadomości e-mail phishingowe zawierające złośliwe załączniki lub łącza. Te e-maile mogą wydawać się wiarygodne, zachęcając odbiorców do klikania łączy lub otwierania załączników, co prowadzi do instalacji oprogramowania ransomware.

Złośliwe linki:
Cyberprzestępcy mogą wykorzystywać witryny phishingowe lub zainfekowane legalne witryny do dystrybucji oprogramowania ransomware. Użytkownicy mogą nieświadomie odwiedzić te witryny, co spowoduje pobranie i wykonanie złośliwego kodu.

Zestawy exploitów:
Ransomware może być dystrybuowane poprzez zestawy exploitów, których celem są luki w oprogramowaniu lub systemach operacyjnych. Gdy użytkownik odwiedza zaatakowaną witrynę internetową, zestaw exploitów skanuje w poszukiwaniu luk i dostarcza oprogramowanie ransomware.

Złośliwe reklamy:
Złośliwe reklamy (malvertising) w legalnych witrynach internetowych mogą przekierowywać użytkowników do witryn zawierających oprogramowanie ransomware. Kliknięcie tych reklam może zainicjować pobieranie i wykonanie złośliwego kodu.

Ataki wodopoju:
Cyberprzestępcy mogą atakować strony internetowe, które są często odwiedzane przez określoną grupę docelową (np. pracowników określonej organizacji). Gdy użytkownicy z grupy docelowej odwiedzą te zainfekowane witryny, mogą niechcący pobrać oprogramowanie ransomware.

Pobieranie na miejscu:
Ransomware może być dostarczane poprzez pobieranie typu drive-by, podczas którego złośliwe oprogramowanie jest automatycznie pobierane i uruchamiane, gdy użytkownik odwiedza zaatakowaną lub złośliwą witrynę internetową bez jakiejkolwiek interakcji z użytkownikiem.