TerrorWare Ransomware

Ved første øjekast ser TerroWave Ransomware ud til en typisk repræsentant for denne malware-trusseltype. TerroWave Ransomware sigter mod at inficere computere, der vil få deres filer krypteret efterfølgende. Berørte brugere vil på et øjeblik miste adgang til næsten alle deres filer inklusive MS Office-dokumenter, arkiver, databaser, PDF-filer osv. Hver låst fil vil have '.terror' vedhæftet sit oprindelige navn som en ny filtypenavn. Under sine truende operationer erstatter TerrorWave det nuværende skrivebordsbaggrund med et af sine egne. Det vil også slippe en tekstfil med navnet 'READ_ME.txt', der indeholder instruktioner til ofrene.

Indtil dette punkt er alt par for kurset, men det er her tingene tager en uventet vending. Mens langt størstedelen af trusler mod ransomware afpresser deres ofre for penge, ser TerrorWare ud til at have et helt andet slutmål. Åbning af tekstfilen med den formodede løsesumnote afslører, at de personer, der er ansvarlige for at frigøre truslen, måske er mere interesserede i at popularisere et specifikt svensk spilfællesskab. Faktisk beder noten de berørte brugere om at følge det medfølgende link, der fører til en Discord-server ved navn 'Terror Grabbarna' for at modtage den dekrypteringsnøgle, der er nødvendig til gendannelse af deres låste filer. Løsepenge noten indeholder også et link til dekrypteringssoftwaren.

Mens TerrorWares løsepenge ikke engang nævner behovet for at betale penge, betyder det ikke, at ofrene ikke bliver bedt om at gøre det, når de nødvendigvis slutter sig til hackernes Discord-server.

Den fulde tekst af meddelelsen leveret i 'READ_ME.txt' filerne er:

'TerrorWare Deltag i Discord for dekrypteringsnøgle: https://discord.gg/- Decryptor: https://cdn.discordapp.com/attachments/-/-/TerrorWare.ex.'