Wzer Ransomware bloqueia arquivos de vítimas
Ao examinar novas amostras de malware, nossa equipe encontrou o ransomware Wzer, que está ligado à família Djvu. Quando se infiltra num computador, o Wzer encripta vários ficheiros e adiciona a extensão ".wzer" aos seus nomes originais. Por exemplo, um arquivo chamado “1.jpg” é transformado em “1.jpg.wzer”, enquanto “2.png” muda para “2.png.wzer” e assim por diante.
Além de sua função principal de criptografar arquivos, o Wzer gera uma nota de resgate que aparece como um arquivo de texto chamado “_readme.txt”. Além disso, a distribuição do Wzer pode envolver a colaboração com malware que rouba informações, como Vidar e RedLine.
A nota de resgate dentro do arquivo "_readme.txt" enfatiza que a descriptografia do arquivo depende do uso de um software de descriptografia específico e de uma chave exclusiva. As vítimas são instruídas a estabelecer contato com os invasores por meio dos endereços de e-mail fornecidos (support@freshmail.top ou datarestorehelp@airmail.cc) para orientação adicional.
Além disso, a nota de resgate apresenta dois valores diferentes: US$ 980 e US$ 490, indicando que as vítimas podem potencialmente obter as ferramentas de descriptografia a uma taxa reduzida se se comunicarem com os invasores dentro de um período de 72 horas.
Nota de resgate Wzer pede $ 490 em pagamento de resgate
O texto completo da nota de resgate do Wzer é o seguinte:
ATENÇÃO!
Não se preocupe, você pode devolver todos os seus arquivos!
Todos os seus arquivos, como fotos, bancos de dados, documentos e outros itens importantes, são criptografados com criptografia mais forte e chave exclusiva.
O único método de recuperação de arquivos é adquirir uma ferramenta de descriptografia e uma chave exclusiva para você.
Este software irá descriptografar todos os seus arquivos criptografados.
Que garantias você tem?
Você pode enviar um dos seus arquivos criptografados do seu PC e nós o descriptografamos gratuitamente.
Mas podemos descriptografar apenas 1 arquivo gratuitamente. O arquivo não deve conter informações valiosas.
Você pode obter e ver a ferramenta de descriptografia de visão geral do vídeo:
hxxps://we.tl/t-E3ktviSmlG
O preço da chave privada e do software de descriptografia é de US$ 980.
Desconto de 50% disponível se você entrar em contato conosco nas primeiras 72 horas, o preço para você é de $ 490.
Observe que você nunca restaurará seus dados sem pagamento.
Verifique a pasta "Spam" ou "Lixo eletrônico" do seu e-mail se não obtiver resposta por mais de 6 horas.Para obter este software você precisa escrever em nosso e-mail:
suporte@freshmail.topReserve o endereço de e-mail para entrar em contato conosco:
datarestorehelp@airmail.ccSua identificação pessoal:
Como o Ransomware como o Wzer é distribuído online?
Ransomwares como o Wzer são normalmente distribuídos por meio de vários métodos que exploram vulnerabilidades em sistemas de computador ou capitalizam o comportamento humano. Alguns métodos de distribuição comuns incluem:
- Anexos de e-mail maliciosos: os cibercriminosos costumam enviar e-mails de phishing contendo anexos maliciosos, como documentos ou executáveis infectados. Esses anexos podem ser projetados para parecerem arquivos legítimos e, quando a vítima os abre, o ransomware é executado.
- Instaladores de software infectados: os cibercriminosos podem comprometer instaladores de software legítimos ou criar versões falsas de software popular. Quando os usuários baixam e instalam esses arquivos infectados, o ransomware é instalado secretamente junto.
- Links maliciosos: e-mails ou mensagens de phishing podem conter links para sites que hospedam o ransomware. Clicar nesses links pode levar ao download e instalação automáticos do ransomware.
- Kits de exploração: os cibercriminosos podem utilizar kits de exploração, que são pacotes de software malicioso projetados para explorar vulnerabilidades em navegadores da web, plug-ins ou outros softwares. Quando um usuário visita um site comprometido, o kit de exploração detecta vulnerabilidades e entrega a carga do ransomware.
- Ataques de protocolo de área de trabalho remota (RDP): os invasores têm como alvo sistemas com credenciais RDP fracas ou vulnerabilidades conhecidas. Depois de obter acesso remoto, eles instalam o ransomware.
- Malvertising: anúncios maliciosos em sites legítimos podem levar os usuários a sites maliciosos que hospedam o ransomware. A simples visita ao site comprometido pode acionar o download e a instalação do ransomware.
- Redes peer-to-peer e software pirateado: downloads ilegítimos de software de redes peer-to-peer ou versões de software crackeadas/piratas podem conter cargas ocultas de ransomware.
- Downloads drive-by: os cibercriminosos podem usar sites comprometidos para entregar malware aos sistemas dos visitantes sem qualquer interação do usuário. Vulnerabilidades no navegador ou em seus plug-ins são exploradas para iniciar o download e a execução do ransomware.