WORM Ransomware

En ny trussel, der er klassificeret som ransomware, er blevet opdaget i naturen. Navnet WORM Ransomware, sigter det mod at låse flere filtyper med en krypteringsalgoritme, der ikke kan knækkes. Ofre vil så ikke være i stand til at få adgang til nogen af de berørte data, idet de mister en stor del af deres personlige eller forretningsrelaterede filereffektivt.

Analyse af WORM Ransomware viser, at truslen er en variant fra Dharma Ransomware- familien. Som sådan følger den den typiske Dharma-adfærd ret tæt. Truslen genererer en specifik ID-streng for den kompromitterede enhed og knytter den til de originale navne på alle krypterede filer. Den tilføjer derefter en e-mail under hackernes kontrol efterfulgt af dens unikke filtypenavn. I dette tilfælde er e-mailadressen 'psworm@keemail.me', og filtypenavnet er '.WORM.'

Endelig vil truslen levere to ransomware-noter. En vil blive placeret i en nyoprettet fil med navnet 'WORM_MANUAL.txt.' Den anden vil blive vist på skærmen på det inficerede system som et pop op-vindue.

WORM Ransomwares krav

Åbning af tekstfilen afslører et meget kort sæt instruktioner. Beskeden inde instruerer blot brugerne til at etablere kontakt med angriberne ved at sende beskeder til de to angivne e-mailadresser - 'psworm@keemail.me' eller 'psworm@onionmail.org.'

Den korrekte løsesumseddel vises i pop op-vinduet. Det præciserer, at hovedmailen er den, der findes i navnene på de krypterede filer. Den sekundære adresse bør kun bruges, hvis der går 24 timer, uden at brugerne modtager et svar fra hackerne. Anden halvdel af sedlen er optaget af et væld af advarsler. WORM advarer sine ofre om, at ændring af navnene på de låste filer eller forsøg på at låse dem op med tredjeparts softwareværktøjer kan forårsage uoprettelig skade.

Den fulde tekst af løsesumsedlen er:

' ORMEHOLD

DINE FILER ER KRYPTET
Bare rolig, du kan returnere alle dine filer!
Hvis du vil gendanne dem, så skriv til mailen: psworm@keemail.me DIT ID -
Hvis du ikke har svaret på mail inden for 24 timer, så skriv til os på en anden mail:psworm@onionmail.org

OPMÆRKSOMHED
WORM TEAM anbefaler ikke at kontakte en agent for at hjælpe med at afkode dataene
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.

Beskeden leveret via tekstfil er:

Alle dine data er blevet låst os
Vil du tilbage?
skriv e-mail psworm@keemail.me eller psworm@onionmail.org .'