Кампания по вымогательству WickrMe идет после устаревших серверов Microsoft SharePoint
WickrMe Ransomware (также называемый Hello Ransomware) - опасный троян для шифрования файлов, который до сих пор используется против очень определенного набора целей. Важно добавить, что это не имеет ничего общего с сервисами обмена сообщениями WickrMe. Создатели этого вредоносного ПО не распространяют его среди случайных пользователей в Интернете, а вместо этого проводят тщательно спланированные атаки на уязвимые серверы Microsoft SharePoint. Конечно, системным администраторам, которые обновляют свое программное обеспечение, эта атака не угрожает, поскольку кампания WickrMe Ransomware основана на уязвимости, появившейся еще в 2019 году. К сожалению, многие системы по-прежнему уязвимы из-за работы устаревшего программного обеспечения, и они являются точной целью программы-вымогателя WickrMe.
Помимо относительно особого вектора заражения, WickrMe Ransomware ведет себя так же, как и другие троянские программы для шифрования файлов. Его атака включает несколько этапов, которые не являются чем-то необычным:
- Отключает процессы, используемые программным обеспечением для управления базами данных и другими утилитами, которые могут препятствовать доступу вредоносной программы к файлам, которые она хочет зашифровать.
- Сканирует разделы диска на предмет типов файлов, которые предполагается зашифровать, а затем блокирует их содержимое.
- Добавляет суффикс «.hello» к именам файлов, которые он блокирует.
- Отбрасывает записку с требованием выкупа «Readme !!!. Txt», которая включает настраиваемые электронные письма для этой конкретной жертвы.
Конечно, преступники требуют выкуп через биткойн. Помимо электронных писем, преступники также предоставляют имена пользователей WickrMe, которые можно использовать для связи с ними - это первый случай, когда эта услуга используется операторами программ-вымогателей.
К сожалению, шифрование WickrMe Ransomware невозможно взломать, и о бесплатном программном обеспечении для дешифрования не может быть и речи. Однако жертвы этой атаки не должны соглашаться сотрудничать с злоумышленниками, поскольку риск мошенничества слишком высок. Вместо того, чтобы связываться с киберпреступниками, жертвы WickrMe Ransomware должны использовать антивирусное программное обеспечение для устранения угрозы, а затем попытаться восстановить файлы с помощью резервной копии или популярного программного обеспечения для восстановления.