Программа-вымогатель Wzer блокирует файлы жертвы

При изучении новых образцов вредоносного ПО наша команда наткнулась на программу-вымогатель Wzer, связанную с семейством Djvu. При проникновении на компьютер Wzer шифрует различные файлы и добавляет расширение «.wzer» к их первоначальным именам. Например, файл с именем «1.jpg» преобразуется в «1.jpg.wzer», а «2.png» — в «2.png.wzer» и так далее.

Помимо своей основной функции шифрования файлов, Wzer генерирует записку о выкупе, которая отображается в виде текстового файла с именем «_readme.txt». Кроме того, распространение Wzer может включать сотрудничество с вредоносными программами для кражи информации, такими как Vidar и RedLine.

В примечании о выкупе в файле «_readme.txt» подчеркивается, что расшифровка файла основана на использовании специального программного обеспечения для расшифровки и уникального ключа. Жертвам предлагается установить контакт с злоумышленниками через предоставленные им адреса электронной почты (support@freshmail.top или datarestorehelp@airmail.cc) для получения дальнейших указаний.

Более того, в записке о выкупе указаны две разные суммы: 980 и 490 долларов, что указывает на то, что жертвы потенциально могут получить инструменты расшифровки по сниженной цене, если они свяжутся с злоумышленниками в течение 72 часов.

В записке о выкупе Wzer требуется 490 долларов США в качестве выкупа

Полный текст записки о выкупе Wzer выглядит следующим образом:

ВНИМАНИЕ!

Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как изображения, базы данных, документы и другие важные файлы, зашифрованы самым сильным шифрованием и уникальным ключом.
Единственный способ восстановить файлы — это приобрести инструмент для расшифровки и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие у вас есть гарантии?
Вы можете отправить один из ваших зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации.
Вы можете получить и посмотреть видео обзор инструмента расшифровки:
hxxps://we.tl/t-E3ktviSmlG
Цена закрытого ключа и программного обеспечения для дешифрования составляет 980 долларов США.
Скидка 50% доступна, если вы свяжетесь с нами в течение первых 72 часов, эта цена для вас составляет 490 долларов США.
Обратите внимание: вы никогда не восстановите свои данные без оплаты.
Проверьте папку «Спам» или «Нежелательная почта» вашей электронной почты, если вы не получили ответ более 6 часов.

Чтобы получить данное программное обеспечение, Вам необходимо написать на нашу электронную почту:
support@freshmail.top

Зарезервируйте адрес электронной почты, чтобы связаться с нами:
datarestorehelp@airmail.cc

Ваш личный идентификатор:

Как программы-вымогатели, подобные Wzer, распространяются в Интернете?

Программы-вымогатели, такие как Wzer, обычно распространяются с помощью различных методов, которые используют уязвимости в компьютерных системах или извлекают выгоду из поведения человека. Некоторые распространенные методы распространения включают в себя:

• Вредоносные вложения электронной почты. Киберпреступники часто рассылают фишинговые электронные письма, содержащие вредоносные вложения, например зараженные документы или исполняемые файлы. Эти вложения могут выглядеть как законные файлы, и когда жертва открывает их, программа-вымогатель запускается.
• Зараженные установщики программного обеспечения. Киберпреступники могут поставить под угрозу законные установщики программного обеспечения или создать поддельные версии популярного программного обеспечения. Когда пользователи загружают и устанавливают эти зараженные файлы, вместе с ними тайно устанавливается и программа-вымогатель.
• Вредоносные ссылки. Фишинговые электронные письма или сообщения могут содержать ссылки на веб-сайты, на которых размещены программы-вымогатели. Нажатие на эти ссылки может привести к автоматической загрузке и установке программы-вымогателя.
• Наборы эксплойтов. Киберпреступники могут использовать наборы эксплойтов, которые представляют собой пакеты вредоносного программного обеспечения, предназначенные для использования уязвимостей в веб-браузерах, плагинах или другом программном обеспечении. Когда пользователь посещает взломанный веб-сайт, набор эксплойтов обнаруживает уязвимости и доставляет полезную нагрузку программы-вымогателя.
• Атаки по протоколу удаленного рабочего стола (RDP). Злоумышленники нацелены на системы со слабыми учетными данными RDP или с известными уязвимостями. Получив удаленный доступ, они устанавливают программу-вымогатель.
• Вредоносная реклама. Вредоносная реклама на законных веб-сайтах может привести пользователей на вредоносные веб-сайты, на которых размещены программы-вымогатели. Простое посещение взломанного сайта может спровоцировать загрузку и установку программы-вымогателя.
• Одноранговые сети и пиратское программное обеспечение. Незаконные загрузки программного обеспечения из одноранговых сетей или взломанные/пиратские версии программного обеспечения могут содержать скрытые полезные данные программ-вымогателей.
• Загрузки с диска. Киберпреступники могут использовать взломанные веб-сайты для доставки вредоносного ПО в системы посетителей без какого-либо взаимодействия с пользователем. Уязвимости в браузере или его плагинах используются для инициации загрузки и выполнения программы-вымогателя.