TmrCrypt0r Ransomware sperrt Ihre Dateien

Bei unserer Analyse neu entdeckter Schaddateien sind wir auf ein Programm namens TmrCrypt0r gestoßen, das zur Xorist-Ransomware-Familie gehört.

Bei Tests auf unserem System verschlüsselte diese Ransomware verschiedene Dateien und änderte deren Dateinamen, indem sie die Erweiterung „.TMRCRYPT0R“ hinzufügte. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.jpg“ als „1.jpg.TMRCRYPT0R“ erscheinen, während „2.png“ zu „2.png.TMRCRYPT0R“ werden würde und so weiter. Zusätzlich zur Dateiverschlüsselung präsentierte TmrCrypt0r Lösegeldforderungen sowohl in einem Popup-Fenster als auch in einer Textdatei.

Die Lösegeldscheine enthielten eine Zahlungsaufforderung und teilten den Opfern mit, dass ihre Daten verschlüsselt worden seien. Die Angreifer setzten eine dreitägige Frist zur Zahlung eines Lösegelds, um wieder Zugriff auf die gesperrten Dateien zu erhalten. Der angegebene Betrag wurde mit 150 US-Dollar angegeben, wahrscheinlich in US-Dollar, wobei die Zahlung in russischen Rubel über die Yoomoney-Wallet erwartet wird. Es ist jedoch wichtig zu beachten, dass in den Lösegeldscheinen zwar die Adresse der Brieftasche erwähnt wurde, diese jedoch nicht tatsächlich enthalten war. Darüber hinaus enthielten diese Nachrichten keine Kontaktinformationen, über die die Opfer mit den Angreifern kommunizieren könnten.

Wie kann Ransomware wie TmrCrypt0r Ihren Heimcomputer infizieren?

Ransomware wie TmrCrypt0r kann Ihren Heimcomputer auf verschiedene Weise infizieren. Hier sind einige gängige Methoden:

• Schädliche E-Mail-Anhänge: Cyberkriminelle verbreiten Ransomware häufig, indem sie Phishing-E-Mails versenden, die legitim erscheinen. Diese E-Mails können infizierte Anhänge wie Dokumente oder ZIP-Dateien enthalten, die beim Öffnen den Ransomware-Installationsprozess auslösen.
• Schädliche Links: Cyberkriminelle können Ransomware auch über bösartige Links verbreiten, die in E-Mails, Social-Media-Nachrichten oder Websites eingebettet sind. Das Klicken auf solche Links kann zum Herunterladen und Ausführen von Ransomware auf Ihrem Computer führen.
• Exploit-Kits: Ransomware kann Schwachstellen in Software oder Betriebssystemen ausnutzen. Wenn Sie kompromittierte Websites besuchen oder auf schädliche Anzeigen klicken, werden Sie möglicherweise zu Exploit-Kits weitergeleitet, die Ihren Computer automatisch auf Schwachstellen scannen und bei Entdeckung Ransomware ausliefern.
• Drive-by-Downloads: Ransomware kann ohne Ihr Wissen oder Ihre Zustimmung stillschweigend auf Ihren Computer heruntergeladen werden, wenn Sie kompromittierte Websites besuchen oder auf bösartige Werbung klicken. Diese Drive-by-Downloads nutzen Schwachstellen in Ihrem Browser oder seinen Plugins aus.
• Gefälschte Software-Installationsprogramme und -Updates: Cyberkriminelle können gefälschte Software-Installationsprogramme oder -Updates erstellen, die legitime Anwendungen oder Systemaktualisierungen nachahmen. Wenn Sie diese schädlichen Dateien herunterladen und ausführen, kann Ransomware auf Ihrem Computer installiert werden.
• Peer-to-Peer-Dateifreigabe: Das Herunterladen von Dateien aus nicht vertrauenswürdigen Quellen wie Peer-to-Peer-Netzwerken (P2P) oder Torrents erhöht das Risiko, infizierte Dateien herunterzuladen, in die Ransomware eingebettet ist.