TmrCrypt0r Ransomware låser dine filer

Under vores analyse af nyopdagede ondsindede filer stødte vi på et program kaldet TmrCrypt0r, som er forbundet med Xorist ransomware-familien.

Når den blev testet på vores system, krypterede denne ransomware forskellige filer og ændrede deres filnavne ved at tilføje udvidelsen ".TMRCRYPT0R". For eksempel vil en fil, der oprindeligt hedder "1.jpg" vises som "1.jpg.TMRCRYPT0R", mens "2.png" bliver til "2.png.TMRCRYPT0R" og så videre. Ud over filkryptering præsenterede TmrCrypt0r løsesumsedler både i et pop-up vindue og en tekstfil.

Løsesedlerne indeholdt et krav om betaling og informerede ofrene om, at deres data var blevet krypteret. Angriberne gav en tre-dages frist til at betale en løsesum for at få adgang til de låste filer igen. Det angivne beløb var angivet som $150, sandsynligvis denomineret i amerikanske dollars, med betaling forventet i russiske rubler gennem Yoomoney-pungen. Det er dog vigtigt at bemærke, at selvom løsesumsedlerne nævnte tegnebogens adresse, var den faktisk ikke inkluderet. Desuden indeholdt disse beskeder ingen kontaktoplysninger, hvorigennem ofrene kunne kommunikere med angriberne.

Hvordan kan ransomware som TmrCrypt0r inficere din hjemmecomputer?

Ransomware som TmrCrypt0r kan inficere din hjemmecomputer gennem forskellige metoder. Her er nogle almindelige måder:

• Ondsindede e-mailvedhæftede filer: Cyberkriminelle distribuerer ofte ransomware ved at sende phishing-e-mails, der virker legitime. Disse e-mails kan indeholde inficerede vedhæftede filer, såsom dokumenter eller ZIP-filer, som, når de åbnes, udløser ransomware-installationsprocessen.
• Ondsindede links: Cyberkriminelle kan også distribuere ransomware gennem ondsindede links indlejret i e-mails, meddelelser på sociale medier eller websteder. Hvis du klikker på sådanne links, kan det føre til download og udførelse af ransomware på din computer.
• Udnyttelsessæt: Ransomware kan udnytte sårbarheder i software eller operativsystemer. Besøg på kompromitterede websteder eller klik på ondsindede annoncer kan omdirigere dig til udnyttelsessæt, som automatisk scanner din computer for sårbarheder og leverer ransomware, hvis den findes.
• Drive-by-downloads: Ransomware kan lydløst downloades til din computer, når du besøger kompromitterede websteder eller klikker på ondsindede reklamer uden din viden eller samtykke. Disse drive-by downloads udnytter sårbarheder i din browser eller dens plugins.
• Falske softwareinstallatører og -opdateringer: Cyberkriminelle kan oprette falske softwareinstallatører eller opdateringer, der efterligner legitime applikationer eller systemopdateringer. Når du downloader og kører disse ondsindede filer, kan ransomware installeres på din computer.
• Peer-to-Peer fildeling: Download af filer fra ikke-pålidelige kilder, såsom peer-to-peer (P2P) netværk eller torrents, øger risikoen for at downloade inficerede filer, der er indlejret med ransomware.