Wormhole Ransomware bloqueia arquivos das vítimas

Em nossa investigação do malware Wormhole, determinamos que ele funciona como ransomware com o objetivo principal de criptografar arquivos e exigir resgate pela descriptografia. Além de criptografar arquivos, o Wormhole altera os nomes dos arquivos anexando a extensão ".Wormhole" (por exemplo, renomeando "1.jpg" para "1.jpg.Wormhole", "2.png" para "2.png.Wormhole" e assim por diante ).

O ransomware também apresenta uma nota de resgate ("Como recuperar ficheiros encriptados por Wormhole.txt") que instrui as vítimas a comunicar com os invasores via Tox ou qTox (fornecendo links de descarregamento para estas ferramentas). Ele aconselha as vítimas a configurar um proxy se a ferramenta de bate-papo encontrar problemas de conectividade com a Internet.

Além disso, a nota contém o Tox ID do invasor, servindo como um identificador exclusivo para fins de comunicação. Ele solicita que o destinatário envie um arquivo criptografado junto com um ID do Wormhole para teste de descriptografia.

Nota de resgate completa do Wormhole

O texto completo da nota de resgate produzida pela Wormhole é o seguinte:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Como o Ransomware é comumente distribuído online?

O ransomware é comumente distribuído online por meio de vários métodos, muitas vezes aproveitando táticas de engenharia social e vulnerabilidades em software ou sistemas. Aqui estão alguns métodos de distribuição comuns:

E-mails de phishing: um dos métodos mais comuns é por meio de e-mails de phishing que contêm anexos ou links maliciosos. Esses e-mails são projetados para parecer legítimos e podem induzir os usuários a abrir anexos ou clicar em links que baixam e executam ransomware em seus sistemas.

Links maliciosos: o ransomware pode ser distribuído por meio de links maliciosos compartilhados por e-mail, mídia social ou plataformas de mensagens instantâneas. Clicar nesses links pode levar ao download e execução de ransomware no dispositivo da vítima.

Kits de exploração: os cibercriminosos usam kits de exploração para explorar vulnerabilidades em software ou navegadores da web. Quando um usuário visita um site comprometido, o kit de exploração baixa e instala automaticamente o ransomware no computador da vítima sem o seu conhecimento.

Compromisso do protocolo de área de trabalho remota (RDP): os invasores exploram credenciais fracas ou padrão do protocolo de área de trabalho remota (RDP) para obter acesso não autorizado ao sistema da vítima. Uma vez lá dentro, eles implantam ransomware para criptografar arquivos e exigem resgate.

Malvertising: Anúncios maliciosos (malvertising) em sites legítimos podem redirecionar os usuários para sites que hospedam ransomware. Esses anúncios podem aparecer em sites populares e explorar vulnerabilidades no navegador ou plug-ins do usuário para fornecer ransomware.