WoXoTo 勒索软件锁定受害者系统

在分析新的恶意软件样本时，我们发现了 Xorist 家族中的一个新成员，称为 WoXoTo。 WoXoTo 作为勒索软件运行，这是一种旨在加密文件的恶意软件。此外，WoXoTo 还会生成两个勒索字条 - 它会创建“HOW TO DECRYPT FILES.txt”文件并显示一条弹出消息。此外，它还通过附加“.WoXoTo”扩展名来更改文件名。

勒索信告诉受害者，他们的文件已被加密，但让他们放心，不要惊慌，并声称在支付赎金后解密是可行的。该票据指定支付方式为比特币，赎金金额固定为0.02 BTC。

该便条强调了准确性的重要性，指示受害者确认便条中提供的正确的比特币地址进行付款。付款后，受害者将被指示通过电子邮件 woxoto@tuta.io 联系犯罪者，并使用指定的主题行。确认付款后，攻击者承诺提供教程和解密密钥，以解锁加密文件。

WoXoTo 勒索信要求支付比特币

WoXoTo 勒索信全文如下：

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

勒索软件与 WoXoTo 的分布有何相似之处？

包括 WoXoTo 在内的勒索软件通常通过利用系统漏洞或诱骗用户无意中安装恶意软件的各种方法进行分发。虽然具体的分发方法可能有所不同，但包括 WoXoTo 在内的勒索软件的传播方式有一些共同点：

网络钓鱼电子邮件：
勒索软件通常通过包含恶意附件或链接的网络钓鱼电子邮件进行传播。这些电子邮件可能看起来合法，诱使收件人点击链接或打开附件，从而导致勒索软件的安装。

恶意链接：
网络犯罪分子可能利用网络钓鱼网站或受感染的合法网站来分发勒索软件。用户可能在不知情的情况下访问这些网站，从而触发恶意代码的下载和执行。

漏洞利用套件：
勒索软件可以通过漏洞利用工具包进行分发，该工具包针对软件或操作系统中的漏洞。当用户访问受感染的网站时，漏洞利用工具包会扫描漏洞并传递勒索软件有效负载。

恶意广告：
合法网站上的恶意广告（恶意广告）可以将用户重定向到托管勒索软件的网站。点击这些广告可能会启动恶意代码的下载和执行。

水坑攻击：
网络犯罪分子可能会破坏特定目标群体（例如特定组织的员工）经常访问的网站。当目标群体的用户访问这些受感染的网站时，他们可能会无意中下载勒索软件。

路过式下载：
勒索软件可以通过偷渡式下载传播，当用户访问受感染或恶意网站时，恶意软件会自动下载并执行，而无需任何用户交互。