Ransomware WormLocker, poprvé identifikovaný v roce 2021, se objevil v nové verzi, která zneužívá příkazy Windows, jako jsou takeown a icacls, k získání kontroly nad systémovými soubory a jejich oprávněními. Malware vytváří soubory worm_tool.sys ve složkách Desktop a Downloads, přesouvá své komponenty do složky System32 a deaktivuje klíčové funkce systému, například Správce úloh a Průzkumník Windows – čímž po restartu výrazně omezuje přístup uživatele.

Šifrování dat probíhá pomocí algoritmu AES-256 v režimu CBC, přičemž šifrovací klíč je odvozen z pevně zakódovaného hesla (v analyzovaném vzorku: „LUC QPV BTR“). Útok vrcholí spuštěním skriptu, který přehraje zvukový požadavek na výkupné.

Analýza v sandboxu ANY.RUN umožnila detailní sledování chování malwaru, podívat se na ni můžete zde.