WORM Ransomware
Нова заплаха, класифицирана като ransomware, е открита в дивата природа. Наречен WORM Ransomware, той има за цел да заключи множество типове файлове с алгоритъм за криптиране, който не може да бъде разбит. Тогава жертвите няма да могат да получат достъп до нито една от засегнатите данни, губейки голяма част от личните или свързаните с бизнеса файловеефективно.
Анализът на WORM Ransomware показва, че заплахата е вариант от семейството на Dharma Ransomware. Като такъв, той следва доста отблизо типичното поведение на Дхарма. Заплахата генерира специфичен ID низ за компрометираното устройство и го прикачва към оригиналните имена на всички криптирани файлове. След това добавя имейл под контрола на хакерите, последван от уникалното му файлово разширение. В този случай имейл адресът е 'psworm@keemail.me' и разширението на файла е '.WORM.'
И накрая, заплахата ще достави две бележки за рансъмуер. Единият ще бъде поставен в новосъздадения файл с име „WORM_MANUAL.txt". Другият ще се покаже на екрана на заразената система като изскачащ прозорец.
Изискванията на WORM Ransomware
Отварянето на текстовия файл разкрива много кратък набор от инструкции. Съобщението вътре просто насочва потребителите да установят контакт с нападателите, като изпращат съобщения до двата предоставени имейл адреса – „psworm@keemail.me" или „psworm@onionmail.org".
Правилната бележка за откуп е представена в изскачащия прозорец. Пояснява, че основният имейл е този, който се намира в имената на криптираните файлове. Вторичният адрес трябва да се използва само ако изминат 24 часа без потребителите да получат отговор от хакерите. Втората половина на бележката е заета от множество предупреждения. WORM предупреждава своите жертви, че промяната на имената на заключените файлове или опитите за отключването им със софтуерни инструменти на трети страни могат да причинят непоправими щети.
Пълният текст на бележката за откуп е:
' ОТБОР НА ЧЕРВЕЯ
ВАШИТЕ ФАЙЛОВЕ СА КРИПИРАНИ
Не се притеснявайте, можете да върнете всичките си файлове!
Ако искате да ги възстановите, пишете на пощата: psworm@keemail.me ВАШИЯ ИД -
Ако не сте отговорили по пощата в рамките на 24 часа, пишете ни на друг имейл: psworm@onionmail.orgВНИМАНИЕ
WORM TEAM не препоръчва да се свързвате с агент, който да помогне за декодирането на данните
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Декриптирането на вашите файлове с помощта на трети страни може да доведе до повишаване на цената (те добавят своята такса към нашата) или да станете жертва на измама.Съобщението, доставено чрез текстов файл е:
Всички ваши данни са ни заключени
Искате ли да се върнете?
напишете имейл psworm@keemail.me или psworm@onionmail.org .'
