WORM ransomware

Una nuova minaccia classificata come ransomware è stata rilevata in natura. Chiamato WORM Ransomware, mira a bloccare più tipi di file con un algoritmo di crittografia non decifrabile. Le vittime non saranno quindi in grado di accedere a nessuno dei dati interessati perdendo gran parte dei loro file personali o relativi all'attivitàeffettivamente.

L'analisi del WORM Ransomware mostra che la minaccia è una variante della famiglia Dharma Ransomware. Come tale, segue piuttosto da vicino il tipico comportamento del Dharma. La minaccia genera una stringa ID specifica per il dispositivo compromesso e la allega ai nomi originali di tutti i file crittografati. Quindi aggiunge un'e-mail sotto il controllo degli hacker, seguita dalla sua estensione di file univoca. In questo caso, l'indirizzo email è "psworm@keemail.me" e l'estensione del file è ".WORM".

Infine, la minaccia fornirà due note di ransomware. Uno verrà inserito in un file appena creato chiamato 'WORM_MANUAL.txt.' L'altro verrà visualizzato sullo schermo del sistema infetto come una finestra pop-up.

Richieste di WORM ransomware

L'apertura del file di testo rivela una serie di istruzioni molto brevi. Il messaggio all'interno indica semplicemente agli utenti di stabilire un contatto con gli aggressori inviando messaggi ai due indirizzi e-mail forniti: "psworm@keemail.me" o "psworm@onionmail.org".

La richiesta di riscatto corretta viene presentata nella finestra pop-up. Chiarisce che l'email principale è quella che si trova nei nomi dei file crittografati. L'indirizzo secondario deve essere utilizzato solo se trascorrono 24 ore senza che gli utenti ricevano una risposta dagli hacker. La seconda metà della nota è occupata da una moltitudine di avvertimenti. WORM avverte le sue vittime che la modifica dei nomi dei file bloccati o il tentativo di sbloccarli con strumenti software di terze parti potrebbe causare danni irreparabili.

Il testo completo della richiesta di riscatto è:

' VERME TEAM

I TUOI FILE SONO CRIPTATI
Non preoccuparti, puoi restituire tutti i tuoi file!
Se vuoi ripristinarli, scrivi alla mail: psworm@keemail.me IL TUO ID -
Se non hai risposto per posta entro 24 ore, scrivici con un'altra mail: psworm@onionmail.org

ATTENZIONE
WORM TEAM non consiglia di contattare l'agente per aiutare a decodificare i dati
Non rinominare i file crittografati.
Non tentare di decrittografare i dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro commissione alla nostra) o puoi diventare vittima di una truffa.

Il messaggio consegnato tramite file di testo è:

Tutti i tuoi dati ci sono stati bloccati
Vuoi tornare?
scrivi e-mail psworm@keemail.me o psworm@onionmail.org .'