WoXoTo 勒索軟體鎖定受害者係統

在分析新的惡意軟體樣本時，我們發現了 Xorist 家族中的一個新成員，稱為 WoXoTo。 WoXoTo 作為勒索軟體運行，這是一種旨在加密檔案的惡意軟體。此外，WoXoTo 還會產生兩個勒索字條 - 它會建立「HOW TO DECRYPT FILES.txt」檔案並顯示一則彈出訊息。此外，它還透過附加“.WoXoTo”副檔名來更改檔案名稱。

勒索信告訴受害者，他們的文件已被加密，但讓他們放心，不要驚慌，並聲稱在支付贖金後解密是可行的。該票據指定付款方式為比特幣，贖金金額固定為0.02 BTC。

該便條強調了準確性的重要性，並指示受害者確認便條中提供的正確的比特幣地址進行付款。付款後，受害者將被指示透過電子郵件 woxoto@tuta.io 聯繫犯罪者，並使用指定的主題行。確認付款後，攻擊者承諾提供教程和解密金鑰，以解鎖加密檔案。

WoXoTo 勒索信要求支付比特幣

WoXoTo 勒索信全文如下：

Hi, as you can see, all your files are encrypted.
Don't panic, you can decrypt them, you just have to pay me for the ransom.

Payment is made only by bitcoin, and the amount you have to pay is 0.02 BITCOIN
You can buy very easily from these sites:
www.localbitcoins.com
www.paxful.com

A list of several sites where you can buy bitcoin can be found here:
hxxps://bitcoin.org/en/exchanges

Make sure the address where you will send the bitcoin is: bc1q20q0xphyalwn6emjvd5xt5mc3a7tel08ldnfjq

After sending, contact us at this email address: woxoto@tuta.io
With this subject: -

After confirming the payment, you will receive a tutorial and the keys for decrypting the files.

勒索軟體與 WoXoTo 的分佈有何相似之處？

包括 WoXoTo 在內的勒索軟體通常透過利用系統漏洞或誘騙用戶無意中安裝惡意軟體的各種方法進行分發。雖然具體的分發方法可能有所不同，但包括 WoXoTo 在內的勒索軟體的傳播方式有一些共同點：

網路釣魚電子郵件：
勒索軟體通常透過包含惡意附件或連結的網路釣魚電子郵件進行傳播。這些電子郵件可能看起來合法，誘使收件者點擊連結或開啟附件，導致勒索軟體的安裝。

惡意連結：
網路犯罪分子可能利用網路釣魚網站或受感染的合法網站來分發勒索軟體。使用者可能在不知情的情況下造訪這些網站，從而觸發惡意程式碼的下載和執行。

漏洞利用套件：
勒索軟體可以透過漏洞利用工具包進行分發，該工具包針對軟體或作業系統中的漏洞。當使用者造訪受感染的網站時，漏洞利用工具包會掃描漏洞並傳遞勒索軟體有效負載。

惡意廣告：
合法網站上的惡意廣告（惡意廣告）可以將使用者重新導向到託管勒索軟體的網站。點擊這些廣告可能會啟動惡意程式碼的下載和執行。

水坑攻擊：
網路犯罪分子可能會破壞特定目標群體（例如特定組織的員工）經常造訪的網站。當目標群體的使用者造訪這些受感染的網站時，他們可能會無意中下載勒索軟體。

經過式下載：
勒索軟體可以透過偷渡式下載傳播，當使用者造訪受感染或惡意網站時，惡意軟體會自動下載並執行，而無需任何使用者互動。