WORM-ransomware

Er is in het wild een nieuwe dreiging gedetecteerd die geclassificeerd is als ransomware. Het wordt de WORM Ransomware genoemd en heeft tot doel meerdere bestandstypen te vergrendelen met een onkraakbaar coderingsalgoritme. Slachtoffers hebben dan geen toegang meer tot de getroffen gegevens en verliezen een groot deel van hun persoonlijke of zakelijke bestandeneffectief.

Analyse van de WORM Ransomware toont aan dat de dreiging een variant is van de Dharma Ransomware- familie. Als zodanig volgt het het typische Dharma-gedrag vrij nauwkeurig. De dreiging genereert een specifieke ID-string voor het gecompromitteerde apparaat en koppelt deze aan de originele namen van alle versleutelde bestanden. Het voegt vervolgens een e-mail toe onder de controle van de hackers, gevolgd door zijn unieke bestandsextensie. In dit geval is het e-mailadres 'psworm@keemail.me' en de bestandsextensie '.WORM.'

Ten slotte levert de dreiging twee ransomware-notities op. Een daarvan wordt in een nieuw gemaakt bestand met de naam 'WORM_MANUAL.txt' geplaatst. De andere wordt als pop-upvenster op het scherm van het geïnfecteerde systeem weergegeven.

De eisen van WORM Ransomware

Als u het tekstbestand opent, ziet u een zeer korte reeks instructies. Het bericht erin stuurt gebruikers eenvoudigweg om contact op te nemen met de aanvallers door een bericht te sturen naar de twee opgegeven e-mailadressen - 'psworm@keemail.me' of 'psworm@onionmail.org'.

De juiste losgeldnota wordt gepresenteerd in het pop-upvenster. Het verduidelijkt dat de belangrijkste e-mail degene is die wordt gevonden in de namen van de versleutelde bestanden. Het secundaire adres mag alleen worden gebruikt als er 24 uur verstrijken zonder dat gebruikers een antwoord van de hackers krijgen. De tweede helft van de notitie wordt in beslag genomen door een veelheid aan waarschuwingen. WORM waarschuwt zijn slachtoffers dat het wijzigen van de namen van de vergrendelde bestanden of het proberen om ze te ontgrendelen met softwaretools van derden onherstelbare schade kan veroorzaken.

De volledige tekst van het losgeld nota is:

' WORMTEAM

UW BESTANDEN ZIJN VERSLEUTELD
Maak je geen zorgen, je kunt al je bestanden teruggeven!
Als u ze wilt herstellen, schrijf dan naar de e-mail: psworm@keemail.me UW ID -
Als je niet binnen 24 uur per post hebt geantwoord, schrijf ons dan via een andere mail:psworm@onionmail.org

AANDACHT
WORM TEAM raadt af contact op te nemen met de agent om de gegevens te helpen decoderen
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te ontsleutelen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij.

Het bericht dat via een tekstbestand wordt afgeleverd, is:

Al uw gegevens zijn bij ons vergrendeld
Wil je terugkeren?
schrijf een e-mail naar psworm@keemail.me of psworm@onionmail.org .'