WORM Ransomware

Ett nytt hot klassificerat som ransomware har upptäckts i naturen. Namnet WORM Ransomware, syftar det till att låsa flera filtyper med en oknäckbar krypteringsalgoritm. Offren kommer då inte att kunna komma åt någon av de berörda uppgifterna och förlora en stor del av sina personliga eller affärsrelaterade filereffektivt.

Analys av WORM Ransomware visar att hotet är en variant från Dharma Ransomware- familjen. Som sådan följer den det typiska Dharma-beteendet ganska nära. Hotet genererar en specifik ID-sträng för den komprometterade enheten och kopplar den till de ursprungliga namnen på alla krypterade filer. Den lägger sedan till ett e-postmeddelande under kontroll av hackarna följt av dess unika filtillägg. I det här fallet är e-postadressen 'psworm@keemail.me' och filtillägget '.WORM.'

Slutligen kommer hotet att leverera två anteckningar om ransomware. En kommer att placeras i en nyskapad fil med namnet 'WORM_MANUAL.txt'. Den andra kommer att visas på skärmen på det infekterade systemet som ett popup-fönster.

WORM Ransomwares krav

När du öppnar textfilen visas en mycket kort uppsättning instruktioner. Meddelandet inuti uppmanar helt enkelt användarna att etablera kontakt med angriparna genom att skicka meddelanden till de två angivna e-postadresserna - 'psworm@keemail.me' eller 'psworm@onionmail.org'.

Den korrekta lösennotan visas i popup-fönstret. Det klargör att huvude-postmeddelandet är det som finns i namnen på de krypterade filerna. Den sekundära adressen ska endast användas om det går 24 timmar utan att användarna får svar från hackarna. Den andra halvan av lappen tas upp av en mängd varningar. WORM varnar sina offer för att ändra namnen på de låsta filerna eller försöka låsa upp dem med tredjeparts programvaruverktyg kan orsaka irreparabel skada.

Den fullständiga texten i lösennotan är:

' MÅRLAG

DINA FILER ÄR KRYPTERADE
Oroa dig inte, du kan returnera alla dina filer!
Om du vill återställa dem, skriv till mejlet: psworm@keemail.me DITT ID -
Om du inte har svarat per post inom 24 timmar, skriv till oss via en annan mail:psworm@onionmail.org

UPPMÄRKSAMHET
WORM TEAM rekommenderar inte att kontakta agent för att hjälpa till med att avkoda data
Byt inte namn på krypterade filer.
Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.
Dekryptering av dina filer med hjälp av tredje part kan orsaka ökat pris (de lägger till sin avgift till vår) eller så kan du bli offer för en bluff.

Meddelandet som levereras via textfil är:

All din data har låsts till oss
Vill du tillbaka?
skriv e-post psworm@keemail.me eller psworm@onionmail.org .'