WoXoTo Ransomware bloqueia sistemas de vítimas
Ao analisar novas amostras de malware, encontramos uma nova adição à família Xorist, conhecida como WoXoTo. WoXoTo opera como ransomware, um software malicioso projetado para criptografar arquivos. Além disso, WoXoTo gera duas notas de resgate – cria o arquivo "HOW TO DECRYPT FILES.txt" e exibe uma mensagem pop-up. Além disso, altera os nomes dos arquivos anexando a extensão ".WoXoTo".
A nota de resgate comunica à vítima que os seus ficheiros foram encriptados, mas tranquiliza-a para não entrar em pânico, afirmando que a desencriptação é viável mediante o pagamento de um resgate. A nota especifica o método de pagamento como Bitcoin, com o valor do resgate fixado em 0,02 BTC.
Enfatizando a importância da precisão, a nota instrui a vítima a confirmar o endereço Bitcoin correto para pagamento, que é fornecido na nota. Após o pagamento, a vítima é orientada a contactar os autores através do email woxoto@tuta.io, utilizando o assunto especificado. Após a confirmação do pagamento, os invasores se comprometem a fornecer um tutorial e chaves de descriptografia para permitir o desbloqueio dos arquivos criptografados.
Nota de resgate WoXoTo exige pagamento em Bitcoin
O texto completo da nota de resgate WoXoTo é o seguinte:
Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.comA list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchangesMake sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq
After sending, contact us at this email address: woxoto@tuta.io
With this subject: -After confirming the payment, you will receive a tutorial and the keys for decrypting the files.
Como o ransomware é semelhante ao WoXoTo distribuído?
O ransomware, incluindo o WoXoTo, é normalmente distribuído por meio de vários métodos que exploram vulnerabilidades em sistemas ou enganam os usuários para que instalem inadvertidamente software malicioso. Embora os métodos de distribuição específicos possam variar, há pontos em comum na forma como o ransomware, incluindo o WoXoTo, é disseminado:
E-mails de phishing:
O ransomware geralmente se espalha por meio de e-mails de phishing contendo anexos ou links maliciosos. Esses e-mails podem parecer legítimos, incentivando os destinatários a clicar em links ou abrir anexos, levando à instalação do ransomware.
Links maliciosos:
Os cibercriminosos podem empregar sites de phishing ou sites legítimos comprometidos para distribuir ransomware. Os usuários podem visitar esses sites sem saber, desencadeando o download e a execução do código malicioso.
Kits de exploração:
O ransomware pode ser distribuído por meio de kits de exploração, que visam vulnerabilidades em software ou sistemas operacionais. Quando um usuário visita um site comprometido, o kit de exploração verifica vulnerabilidades e entrega a carga do ransomware.
Malvertising:
Anúncios maliciosos (malvertising) em sites legítimos podem redirecionar os usuários para sites que hospedam ransomware. Clicar nesses anúncios pode iniciar o download e a execução do código malicioso.
Ataques de Watering Hole:
Os cibercriminosos podem comprometer sites que são frequentemente visitados por um grupo-alvo específico (como funcionários de uma determinada organização). Quando os usuários do grupo-alvo visitam esses sites comprometidos, eles podem baixar ransomware inadvertidamente.
Downloads drive-by:
O ransomware pode ser entregue por meio de downloads drive-by, onde o malware é baixado e executado automaticamente quando um usuário visita um site comprometido ou malicioso sem qualquer interação do usuário.