WoXoTo Ransomware låser offersystem

När vi analyserade nya prover av skadlig programvara, stötte vi på ett nytt tillägg till Xorist-familjen, känt som WoXoTo. WoXoTo fungerar som ransomware, en skadlig programvara utformad för att kryptera filer. Dessutom genererar WoXoTo två lösensedlar – den skapar filen "HUR MAN BESKRIVER FILES.txt" och visar ett popup-meddelande. Dessutom ändrar den filnamn genom att lägga till tillägget ".WoXoTo".

Lösenedeln kommunicerar till offret att deras filer har genomgått kryptering, men försäkrar dem att inte få panik, och hävdar att dekryptering är möjlig vid betalning av en lösen. Anteckningen anger betalningsmetoden som Bitcoin, med lösensumman fastställd till 0,02 BTC.

Med betoning på betydelsen av noggrannhet, instruerar anteckningen offret att bekräfta den korrekta Bitcoin-adressen för betalning, som anges i anteckningen. Efter betalningen uppmanas offret att kontakta förövarna via e-post på woxoto@tuta.io, med en angiven ämnesrad. Efter bekräftelse av betalning lovar angriparna att tillhandahålla en handledning och dekrypteringsnycklar för att möjliggöra upplåsning av de krypterade filerna.

WoXoTo Ransom Note kräver Bitcoin-betalning

Den fullständiga texten i WoXoTo-lösennotan lyder som följer:

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

Hur liknar Ransomware WoXoTo?

Ransomware, inklusive WoXoTo, distribueras vanligtvis genom olika metoder som utnyttjar sårbarheter i system eller lurar användare att oavsiktligt installera den skadliga programvaran. Även om specifika distributionsmetoder kan variera, finns det gemensamma drag i hur ransomware, inklusive WoXoTo, sprids:

Nätfiske-e-postmeddelanden:
Ransomware sprids ofta genom nätfiske-e-postmeddelanden som innehåller skadliga bilagor eller länkar. Dessa e-postmeddelanden kan verka legitima och locka mottagare att klicka på länkar eller öppna bilagor, vilket leder till installationen av ransomware.

Skadliga länkar:
Cyberbrottslingar kan använda nätfiskewebbplatser eller komprometterade legitima webbplatser för att distribuera ransomware. Användare kan omedvetet besöka dessa webbplatser, vilket utlöser nedladdning och exekvering av den skadliga koden.

Exploateringssatser:
Ransomware kan distribueras genom exploateringssatser, som riktar sig mot sårbarheter i programvara eller operativsystem. När en användare besöker en komprometterad webbplats söker exploateringssatsen efter sårbarheter och levererar nyttolasten för ransomware.

Malvertising:
Skadliga annonser (malvertising) på legitima webbplatser kan omdirigera användare till webbplatser som är värd för ransomware. Om du klickar på dessa annonser kan nedladdningen och exekveringen av den skadliga koden initieras.

Vattenhålsattacker:
Cyberbrottslingar kan äventyra webbplatser som ofta besöks av en specifik målgrupp (som anställda i en viss organisation). När användare från den inriktade gruppen besöker dessa utsatta webbplatser kan de oavsiktligt ladda ner ransomware.

Drive-by-nedladdningar:
Ransomware kan levereras genom drive-by-nedladdningar, där skadlig programvara automatiskt laddas ner och exekveras när en användare besöker en komprometterad eller skadlig webbplats utan någon användarinteraktion.