Xro Ransomware ser ud til at være en visker

Vores analytikere stødte på Xro ransomware under evalueringen af de seneste malware-indsendelser. Denne ondsindede software er medlem af Xorist ransomware-familien.

Efter at have udført en prøve af Xro i vores testmiljø, startede den filkryptering og ændrede deres navne. De originale filnavne blev udvidet med et ".xro"-suffiks, hvilket resulterede i, at for eksempel "1.jpg" blev til "1.jpg.xro" og "2.png" omdannes til "2.png.xro" for alle berørte filer.

Efter at have fuldført krypteringsprocessen blev der genereret identiske løsesumsedler, der vises i både et pop-up-vindue og en almindelig tekstfil med navnet "Hvordan DEKRYPTERER DU FILES.txt." Indholdet af meddelelsen tyder på, at denne ransomware potentielt stadig er under udvikling på grund af fraværet af afgørende information.

Xro ransomwares besked, præsenteret i både pop-up- og tekstfilen, informerer offeret om kryptering af deres filer og opfordrer dem til at etablere kommunikation med angriberne. Men fraværet af gyldige kontaktoplysninger indebærer, at ransomwaren muligvis stadig er under udvikling, og denne mangel på detaljer kan løses i potentielle fremtidige udgivelser.

Meddelelsen giver også en advarsel, der angiver, at der er et begrænset antal forsøg på at angive dekrypteringsnøglen (koden). Hvis denne grænse overskrides, vil de berørte data blive irreversibelt ødelagt.

Xro Ransom Note indeholder ingen reelle kontaktoplysninger

Den fulde tekst af den meget korte Xro løsesumseddel lyder som følger:

Attention! All your files are encrypted!
To restore your files and access them,
please send an SMS with the text XXXX to YYYY number.

You have N attempts to enter the code.
When that number has been exceeded,
all the data irreversibly is destroyed.
Be careful when you enter the code!

Hvordan kan ransomware svarende til Xro inficere dit system?

Ransomware, inklusive varianter som Xro, kan inficere dit system gennem forskellige vektorer. Forståelse af disse infektionsmetoder er afgørende for at implementere effektive forebyggelsesforanstaltninger. Her er almindelige måder, hvorpå ransomware kan infiltrere et system:

Phishing-e-mails:
Phishing-e-mails er en primær leveringsmetode for ransomware. Angribere sender ofte e-mails, der indeholder ondsindede vedhæftede filer eller links. Hvis brugere ubevidst downloader eller klikker på disse, kan ransomware udføres.

Ondsindede websteder:
Besøg på kompromitterede eller ondsindede websteder kan udsætte dit system for drive-by downloads. Disse downloads kan installere ransomware uden brugerens viden eller samtykke.

Malvertising:
Ondsindede reklamer eller malvertisements på legitime websteder kan levere ransomware. Ved at klikke på disse annoncer kan det udløse download og eksekvering af malware på brugerens system.

Udnyttelse af sårbarheder:
Ransomware kan udnytte softwaresårbarheder til at få adgang til et system. Det er vigtigt at holde dit operativsystem, software og applikationer opdateret for at rette kendte sårbarheder.

Socialtekniske angreb:
Angribere kan bruge social engineering-taktik til at manipulere brugere til at udføre handlinger, der fører til ransomware-infektion. Dette kan omfatte at narre brugere til at downloade ondsindede filer eller klikke på skadelige links.