Worry Ransomware

Eden od novih trojancev za šifriranje datotek, ki v zadnjem času pesti uporabnike računalnikov, je izsiljevalska programska oprema Worry. Ko so varnostni raziskovalci odkrili to grožnjo izsiljevalske programske opreme, so jo analizirali in ugotovili, da je izsiljevalska programska oprema Worry različica razvpite izsiljevalske programske opreme Phobos . WorryRansomware se razširja prek okuženih prilog iz neželene e-pošte, ponarejenih vdorov programske opreme ali z izkoriščenimi ranljivostmi v nameščenih programih in operacijskih sistemih.

Ko se izsiljevalska programska oprema Worry uspešno infiltrira v osebni računalnik, bo takoj začela pregledovati ciljni stroj. Cilj skeniranja je ugotoviti lokacije vseh datotek, ki jih želi grožnja označiti za šifriranje. Nato bo Worry Ransomware začela šifrirati vse ciljne podatke. Po postopku šifriranja, ki ga uporablja izsiljevalska programska oprema Worry, bodo imena datotek spremenjena. Ta grožnja z izsiljevalsko programsko opremo doda datotečno pripono ».worry« na koncu imena datoteke vsake zaklenjene datoteke.

Nato izsiljevalska programska oprema Worry ustvari in spusti dve obvestili o odkupnini v obliki datotek ».hta« in .txt. Obvestilo o odkupnini ne določa zahtevane odkupnine, vendar zahteva, da se odkupnina plača v bitcoinih, vsebuje pa tudi navodila za nakup bitcoinov, če jih žrtev ne pozna. Ko stopijo v stik s kriminalci prek enega od dveh elektronskih naslovov, ki jih vsebuje sporočilo o odkupnini, lahko žrtve pošljejo pet datotek, ki bodo odklenjene ali brezplačne, če skupna velikost ne presega 10 MB in ne vsebuje ključnih informacij (excel listov, baze podatkov, varnostne kopije itd.).

Žrtve izsiljevalske programske opreme ne bi smele obravnavati plačila odkupnine kot rešitve, ker je interakcija s kriminalci tvegana možnost, ki se lahko konča slabo za žrtve. Namesto tega bi morali prenesti in namestiti ugledno orodje za zaščito pred zlonamerno programsko opremo, da iz svojih sistemov odstranijo izsiljevalsko programsko opremo Worry.

Sporočilo o odkupnini z imenom info.hta se glasi:

»Vse vaše datoteke so bile šifrirane!
Vse vaše datoteke so bile šifrirane zaradi varnostne težave z vašim računalnikom. Če jih želite obnoviti, nam pišite na e-pošto d0ntw0rry@cyberfear.com
Ta ID vpišite v naslov svojega sporočila –
Če v 24 urah ne odgovorite, nam pišite na ta e-mail: rahmud1954@cock.email
Za dešifriranje morate plačati v bitcoinih. Cena je odvisna od tega, kako hitro nam pišete. Po plačilu vam bomo poslali orodje, ki bo dešifriralo vse vaše datoteke.
Brezplačno dešifriranje kot jamstvo
Pred plačilom nam lahko pošljete do 5 datotek za brezplačno dešifriranje. Skupna velikost datotek mora biti manjša od 4Mb (nearhivirane), datoteke pa ne smejo vsebovati dragocenih informacij. (podatkovne baze, varnostne kopije, veliki excelovi listi itd.)
Kako pridobiti Bitcoine
Najlažji način za nakup bitcoinov je spletno mesto LocalBitcoins. Registrirati se morate, klikniti 'Kupi bitcoine' in izbrati prodajalca po načinu plačila in ceni.
https://localbitcoins.com/buy_bitcoins
Tu lahko najdete tudi druga mesta za nakup bitcoinov in vodnik za začetnike:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Pozor!
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, lahko povzroči trajno izgubo podatkov.
Dešifriranje vaših datotek s pomočjo tretjih oseb lahko povzroči zvišanje cene (prištejejo svojo provizijo naši) ali pa postanete žrtev prevare.'

Sporočilo o odkupnini z imenom info.txt se glasi:

'!!!Vse vaše datoteke so šifrirane!!!
Če jih želite dešifrirati, pošljite e-pošto na ta naslov: d0ntw0rry@cyberfear.com.
Če ne odgovorimo v 24 urah, pošljite e-pošto na ta naslov: rahmud1954@cock.email'