Программа-вымогатель «червоточины» блокирует файлы жертв

В ходе нашего исследования вредоносного ПО Wormhole мы установили, что оно действует как программа-вымогатель, основной целью которого является шифрование файлов и требование выкупа за расшифровку. Помимо шифрования файлов, Wormhole изменяет имена файлов, добавляя расширение «.Wormhole» (например, переименовывая «1.jpg» в «1.jpg.Wormhole», «2.png» в «2.png.Wormhole» и т. д.). ).

Программа-вымогатель также представляет записку о выкупе («Как восстановить файлы, зашифрованные с помощью Wormhole.txt»), в которой жертвам предлагается общаться с злоумышленниками через Tox или qTox (с ссылками для загрузки этих инструментов). Он советует жертвам настроить прокси-сервер, если в инструменте чата возникают проблемы с подключением к Интернету.

Более того, в заметке содержится Tox ID злоумышленника, служащий уникальным идентификатором для целей связи. Он просит получателя отправить зашифрованный файл вместе с идентификатором червоточины для тестовой расшифровки.

Записка о выкупе в червоточине полностью

Полный текст записки о выкупе, созданной Wormhole, выглядит следующим образом:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Как программы-вымогатели обычно распространяются в Интернете?

Программы-вымогатели обычно распространяются в Интернете различными способами, часто используя тактику социальной инженерии и уязвимости в программном обеспечении или системах. Вот некоторые распространенные методы распространения:

Фишинговые электронные письма. Одним из наиболее распространенных методов является использование фишинговых электронных писем, содержащих вредоносные вложения или ссылки. Эти электронные письма созданы для того, чтобы выглядеть законными и могут заставить пользователей открыть вложения или перейти по ссылкам, которые загружают и запускают программы-вымогатели в их системы.

Вредоносные ссылки. Программы-вымогатели могут распространяться через вредоносные ссылки, которыми обмениваются по электронной почте, в социальных сетях или на платформах обмена мгновенными сообщениями. Нажатие на эти ссылки может привести к загрузке и запуску программы-вымогателя на устройстве жертвы.

Наборы эксплойтов. Киберпреступники используют наборы эксплойтов для использования уязвимостей в программном обеспечении или веб-браузерах. Когда пользователь посещает взломанный веб-сайт, набор эксплойтов автоматически загружает и устанавливает программу-вымогатель на компьютер жертвы без его ведома.

Компрометация протокола удаленного рабочего стола (RDP). Злоумышленники используют слабые учетные данные или учетные данные по умолчанию для протокола удаленного рабочего стола (RDP) для получения несанкционированного доступа к системе жертвы. Оказавшись внутри, они внедряют программу-вымогатель для шифрования файлов и требуют выкуп.

Вредоносная реклама. Вредоносная реклама (вредоносная реклама) на законных веб-сайтах может перенаправлять пользователей на веб-сайты, на которых размещены программы-вымогатели. Эти рекламные объявления могут появляться на популярных веб-сайтах и использовать уязвимости в браузере пользователя или плагинах для доставки программ-вымогателей.