Phần mở rộng tệp .WERD

Tệp có phần mở rộng .werd là tệp đã được mã hóa bởi vi-rút Werd, đây là một biến thể của phần mềm ransomware Stop và Djvu đã trở nên phổ biến vào tháng 10 năm 2019. Nó được mã hóa nên không thể mở tệp bằng cách thay đổi đơn giản phần mở rộng tệp.

Werd là một loại phần mềm độc hại được tội phạm mạng sử dụng để bắt các tệp của người dùng làm con tin và buộc anh ta trả tiền cho thủ phạm để mở khóa tệp của mình. Nó thường được đưa vào máy tính của nạn nhân thông qua các email rác có đính kèm tệp độc hại được tải xuống và chạy bởi những người dùng không nghi ngờ. Các tệp đính kèm email này có thể là các tệp .DOCX, .RAR, .ZIP hoặc .JS trông có vẻ vô tội nhưng thực sự chứa vi-rút Werd. Phương thức xâm nhập trá hình này được gọi là cuộc tấn công bằng con ngựa thành Troy.

Khi ransomware chạy trên máy tính của người dùng, nó sẽ xáo trộn và mã hóa các tệp trên máy tính sau đó đổi tên chúng bằng phần mở rộng .werd . Các tệp này thường là tài liệu, hình ảnh, video và các tệp sao lưu, chẳng hạn như tệp .PDF, .PNG, .AVI và .DB. Ví dụ: tệp video.mp4 trở thành video.mp4.werd .

Sau đó, virus tạo ra ghi chú đòi tiền chuộc .TXT ( _readme.txt ) trong mỗi thư mục chứa các tệp WERD được mã hóa. Ghi chú tiền chuộc có chứa văn bản thông báo cho người dùng về việc tiếp quản và những gì anh ta cần làm để khôi phục các tệp của mình. Thông thường, ghi chú cũng cung cấp địa chỉ email để liên hệ và số tiền chuộc cần phải trả (thường là $ 980 bằng Bitcoin) để có được công cụ giải mã.

LƯU Ý: Hiện tại, có một số tùy chọn để loại bỏ vi-rút Werd, chẳng hạn như phần mềm Malwarebytes Premium, nhưng không có chương trình nào có sẵn để khôi phục hiệu quả các tệp bị nhiễm. Nếu người dùng có bản sao lưu tệp gần đây của mình, họ có thể thực hiện khôi phục hệ thống để loại bỏ vi-rút nhưng bất kỳ thay đổi nào được thực hiện đối với tệp sau khi sao lưu sẽ bị mất.