סיומת קובץ .WERD

קובץ עם סיומת .werd הוא קובץ שהוצפן על ידי וירוס Werd, שהוא גרסה של תוכנת כופר Stop ו-Djvu שהפכה נפוצה באוקטובר 2019. הוא מוצפן כך שלא ניתן לפתוח את הקובץ פשוט על ידי שינוי סיומת הקובץ.

Werd הוא סוג של תוכנה זדונית המשמשת פושעי רשת שלוקחת את הקבצים של המשתמש כבני ערובה ומאלצת אותו לשלם לעבריין כדי לפתוח את הקבצים שלו. זה בדרך כלל מוצג למחשב של הקורבן באמצעות הודעות דואר זבל עם קבצים מצורפים זדוניים שמורידים ומופעלים על ידי משתמשים תמימים. קבצי דוא"ל אלה עשויים להיות קבצי .DOCX, .RAR, .ZIP או .JS שנראים תמימים אך למעשה מכילים את וירוס Werd. שיטה זו של הסתננות מוסווית ידועה כהתקפת סוס טרויאני.

כאשר תוכנת הכופר פועלת במחשב של משתמש, היא מערפלת ומצפינה קבצים במחשב ואז משנה את שמם בסיומת .werd . הקבצים הם בדרך כלל מסמכים, תמונות, סרטונים וקבצי גיבוי, כגון קבצי .PDF, .PNG, .AVI ו-.DB. לדוגמה, קובץ video.mp4 הופך ל-video.mp4.werd .

לאחר מכן הווירוס יוצר פתק כופר .TXT ( _readme.txt ) בכל אחת מהתיקיות המכילות קבצי WERD מוצפנים. שטר הכופר מכיל טקסט המודיע למשתמש על ההשתלטות ומה עליו לעשות כדי לשחזר את הקבצים שלו. בדרך כלל, השטר מספק גם כתובת אימייל ליצירת קשר ואת סכום הכופר שיש לשלם (בדרך כלל 980 $ בביטקוין) כדי לרכוש את כלי הפענוח.

הערה: נכון לעכשיו, קיימות מספר אפשרויות להסרת וירוס Werd, כגון תוכנת Malwarebytes Premium, אך אין תוכנית זמינה לשחזור יעיל של קבצים נגועים. אם למשתמש יש גיבוי עדכני של הקבצים שלו, הוא יכול לבצע שחזור מערכת להסרת הווירוס אך כל שינוי שיבוצע בקבצים לאחר ביצוע הגיבוי יאבד.