WORM-Ransomware
Eine neue Bedrohung, die als Ransomware eingestuft wird, wurde in freier Wildbahn entdeckt. Es heißt WORM Ransomware und zielt darauf ab, mehrere Dateitypen mit einem unknackbaren Verschlüsselungsalgorithmus zu sperren. Die Opfer können dann nicht mehr auf die betroffenen Daten zugreifen und verlieren einen Großteil ihrer persönlichen oder geschäftlichen Dateieneffektiv.
Die Analyse der WORM-Ransomware zeigt, dass es sich bei der Bedrohung um eine Variante der Dharma-Ransomware- Familie handelt. Als solche folgt es dem typischen Dharma-Verhalten ziemlich genau. Die Bedrohung generiert eine spezifische ID-Zeichenfolge für das kompromittierte Gerät und hängt sie an die ursprünglichen Namen aller verschlüsselten Dateien an. Es hängt dann eine E-Mail an, die von den Hackern kontrolliert wird, gefolgt von ihrer einzigartigen Dateierweiterung. In diesem Fall lautet die E-Mail-Adresse „psworm@keemail.me" und die Dateierweiterung „.WORM".
Schließlich liefert die Bedrohung zwei Ransomware-Notizen. Eine wird in eine neu erstellte Datei namens "WORM_MANUAL.txt" eingefügt. Das andere wird auf dem Bildschirm des infizierten Systems als Popup-Fenster angezeigt.
Anforderungen von WORM Ransomware
Beim Öffnen der Textdatei wird eine sehr kurze Anleitung angezeigt. Die darin enthaltene Nachricht weist die Benutzer lediglich an, Kontakt mit den Angreifern aufzunehmen, indem sie die beiden angegebenen E-Mail-Adressen – „psworm@keemail.me" oder „psworm@onionmail.org" – senden.
Die richtige Lösegeldforderung wird im Popup-Fenster angezeigt. Es stellt klar, dass die Haupt-E-Mail diejenige ist, die in den Namen der verschlüsselten Dateien zu finden ist. Die sekundäre Adresse sollte nur verwendet werden, wenn 24 Stunden vergehen, ohne dass Benutzer eine Antwort von den Hackern erhalten. Die zweite Hälfte des Hinweises wird von einer Vielzahl von Warnungen eingenommen. WORM warnt seine Opfer, dass das Ändern der Namen der gesperrten Dateien oder der Versuch, sie mit Software-Tools von Drittanbietern zu entsperren, irreparable Schäden verursachen kann.
Der vollständige Text der Lösegeldforderung lautet:
' WURM-TEAM
IHRE DATEIEN SIND VERSCHLÜSSELT
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, schreiben Sie an die Mail: psworm@keemail.me IHRE ID -
Wenn Sie innerhalb von 24 Stunden nicht per E-Mail geantwortet haben, schreiben Sie uns eine andere E-Mail: psworm@onionmail.orgBEACHTUNG
WORM TEAM rät davon ab, den Agenten zu kontaktieren, um die Daten zu entschlüsseln
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Dritten kann zu einem erhöhten Preis führen (sie addieren ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.Die per Textdatei übermittelte Nachricht lautet:
Alle deine Daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an psworm@keemail.me oder psworm@onionmail.org .'
