Werd Ransomware

A maioria dos cibercriminosos não são tão habilidosos quanto é frequentemente retratado. A maioria dos indivíduos obscuros que decidem tentar a sorte no mundo do crime cibernético não é muito proficiente ou experiente. No caso de ameaças de ransomware, esses atores optam por emprestar o código prontamente disponível de Trojans de criptografia de arquivos bem estabelecidos, e apenas um pouco para ajustá-lo às suas necessidades. Este é o caso do Werd Ransomware.

Propagação e Criptografia

Uma vez descoberto e dissecado, ficou evidente que o Werd Ransomware é de fato uma variante do notório STOP Ransomware. Apesar de os pesquisadores de malware não conseguirem determinar os vetores de infecção usados na disseminação do Werd Ransomware, os métodos mais populares de propagação de ransomware foram especulados como possíveis culpados. Isso inclui cópias piratas falsas de aplicativos legítimos, atualizações fraudulentas de software e e-mails de spam que contêm anexos com macros. O Werd Ransomware tem como alvo uma lista muito longa de tipos de arquivos populares, que todo usuário comum certamente possui em seu sistema - .jpeg, .mp3, .mov, .docx, .mp4, .png, .rar, etc. Quando o Werd Ransomware localizar os arquivos de seu interesse, não perderá tempo e começará a bloqueá-los usando um algoritmo de criptografia complexo imediatamente. O Werd Ransomware adiciona uma nova extensão aos arquivos bloqueados - '.werd'. Isso significa que um arquivo chamado 'golden-spinner.jpeg' anteriormente terá seu nome alterado para 'golden-spinner.jpeg.werd' quando o processo de criptografia terminar.

A Nota de Resgate

Assim como ocorre com mais ameaças de ransomware, quando o processo de criptografia é concluído, o Trojan de bloqueio de arquivos solta sua nota de resgate na área de trabalho da vítima. O nome da nota do Werd Ransomware é '_readme.txt'. A mensagem da nota afirma que a taxa de resgate é de US $980, mas para usuários que entrarem em contato com os autores do Werd Ransomware dentro de 72 horas, o preço será reduzido em 50%, para US $490. Os atacantes se oferecem para desbloquear um arquivo gratuitamente. Essa é uma tática comum e serve para convencer a vítima de que os autores do malware são capazes de descriptografar os dados bloqueados. Existem dois endereços de e-mail que são fornecidos como forma de contatar os atacantes - 'gorentos@bitmessage.ch' e 'gerentosrestore@firemail.cc'.

É sempre melhor ficar longe dos criminosos cibernéticos. Os usuários que tentam negociar geralmente são deixados de mãos vazias, mesmo que paguem a taxa de resgate, pois não há garantia de que os atacantes fornecerão a chave de descriptografia que prometem. É muito mais seguro utilizar a ajuda de uma ferramenta antivírus, que ajudará você a remover o Werd Ransomware do seu PC.