Wormhole Ransomware låser offers filer

I vår undersökning av Wormhole malware, fastställde vi att den fungerar som ransomware med det primära målet att kryptera filer och kräva lösen för dekryptering. Vid sidan av kryptering av filer ändrar Wormhole filnamn genom att lägga till filtillägget ".Wormhole" (t.ex. byta namn på "1.jpg" till "1.jpg.Wormhole", "2.png" till "2.png.Wormhole" och så vidare ).

Ransomwaren presenterar också en lösennota ("Hur man återställer filer krypterade med Wormhole.txt") som instruerar offren att kommunicera med angriparna via Tox eller qTox (tillhandahåller nedladdningslänkar för dessa verktyg). Det råder offer att konfigurera en proxy om chattverktyget stöter på problem med internetanslutningen.

Dessutom innehåller anteckningen angriparens Tox-ID, som fungerar som en unik identifierare för kommunikationsändamål. Den ber mottagaren att skicka en krypterad fil tillsammans med ett Wormhole ID för testdekryptering.

Wormhole Ransom Note i sin helhet

Den fullständiga texten i lösennotan som producerats av Wormhole lyder som följer:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Hur distribueras ransomware vanligtvis online?

Ransomware distribueras vanligen online genom olika metoder, ofta med social ingenjörstaktik och sårbarheter i programvara eller system. Här är några vanliga distributionsmetoder:

Nätfiske-e-post: En av de vanligaste metoderna är genom nätfiske-e-postmeddelanden som innehåller skadliga bilagor eller länkar. Dessa e-postmeddelanden är utformade för att verka legitima och kan lura användare att öppna bilagor eller klicka på länkar som laddar ner och kör ransomware på deras system.

Skadliga länkar: Ransomware kan distribueras genom skadliga länkar som delas via e-post, sociala medier eller plattformar för snabbmeddelanden. Att klicka på dessa länkar kan leda till nedladdning och körning av ransomware på offrets enhet.

Exploitpaket: Cyberkriminella använder exploateringssatser för att utnyttja sårbarheter i programvara eller webbläsare. När en användare besöker en utsatt webbplats laddar exploateringssatsen automatiskt ner och installerar ransomware på offrets dator utan deras vetskap.

Remote Desktop Protocol (RDP) Kompromiss: Angripare utnyttjar svaga eller standardreferenser för Remote Desktop Protocol (RDP) för att få obehörig åtkomst till ett offers system. Väl inne distribuerar de ransomware för att kryptera filer och kräver en lösensumma.

Malvertising: Skadlig reklam (malvertising) på legitima webbplatser kan omdirigera användare till webbplatser som är värd för ransomware. Dessa annonser kan visas på populära webbplatser och utnyttja sårbarheter i användarens webbläsare eller plugins för att leverera ransomware.