Xro Ransomware scheint ein Wiper zu sein

Unsere Analysten sind bei der Auswertung aktueller Malware-Einsendungen auf die Ransomware Xro gestoßen. Diese Schadsoftware gehört zur Xorist-Ransomware-Familie.

Beim Ausführen eines Beispiels von Xro in unserer Testumgebung wurde die Dateiverschlüsselung initiiert und deren Namen geändert. Die ursprünglichen Dateinamen wurden mit dem Suffix „.xro“ erweitert, was beispielsweise dazu führte, dass „1.jpg“ für alle Betroffenen zu „1.jpg.xro“ und „2.png“ zu „2.png.xro“ wurde Dateien.

Nach Abschluss des Verschlüsselungsprozesses wurden identische Lösegeldforderungen generiert, die sowohl in einem Popup-Fenster als auch in einer Klartextdatei mit dem Namen „HOW TO DECRYPT FILES.txt“ angezeigt wurden. Der Inhalt der Nachricht deutet darauf hin, dass sich diese Ransomware möglicherweise noch in der Entwicklung befindet, da wichtige Informationen fehlen.

Die Nachricht der Xro-Ransomware, die sowohl im Popup als auch in der Textdatei angezeigt wird, informiert das Opfer über die Verschlüsselung seiner Dateien und ermutigt es, mit den Angreifern zu kommunizieren. Das Fehlen gültiger Kontaktinformationen deutet jedoch darauf hin, dass sich die Ransomware möglicherweise noch in der Entwicklung befindet, und dieser Mangel an Details könnte in möglichen zukünftigen Versionen behoben werden.

Die Nachricht gibt außerdem eine Warnung aus, die darauf hinweist, dass die Anzahl der Versuche, den Entschlüsselungsschlüssel (Code) bereitzustellen, begrenzt ist. Bei Überschreitung dieser Grenze werden die betroffenen Daten unwiderruflich vernichtet.

Die Xro-Lösegeldforderung enthält keine echten Kontaktinformationen

Der vollständige Text der sehr kurzen Xro-Lösegeldforderung lautet wie folgt:

Attention! All your files are encrypted!
To restore your files and access them,
please send an SMS with the text XXXX to YYYY number.

You have N attempts to enter the code.
When that number has been exceeded,
all the data irreversibly is destroyed.
Be careful when you enter the code!

Wie kann Ransomware ähnlich wie Xro Ihr System infizieren?

Ransomware, einschließlich Varianten wie Xro, kann Ihr System über verschiedene Vektoren infizieren. Das Verständnis dieser Infektionsmethoden ist für die Umsetzung wirksamer Präventionsmaßnahmen von entscheidender Bedeutung. Auf folgende Arten kann Ransomware ein System infiltrieren:

Phishing-E-Mails:
Phishing-E-Mails sind eine primäre Versandmethode für Ransomware. Angreifer versenden häufig E-Mails mit schädlichen Anhängen oder Links. Wenn Benutzer diese unwissentlich herunterladen oder darauf klicken, kann die Ransomware ausgeführt werden.

Bösartige Webseiten:
Der Besuch manipulierter oder bösartiger Websites kann Ihr System Drive-by-Downloads aussetzen. Diese Downloads können Ransomware ohne Wissen oder Zustimmung des Benutzers installieren.

Malvertising:
Schädliche Werbung oder Malvertisement auf seriösen Websites kann Ransomware übertragen. Das Klicken auf diese Anzeigen kann den Download und die Ausführung von Schadsoftware auf dem System des Benutzers auslösen.

Ausnutzen von Schwachstellen:
Ransomware kann Software-Schwachstellen ausnutzen, um Zugriff auf ein System zu erhalten. Es ist wichtig, Ihr Betriebssystem, Ihre Software und Ihre Anwendungen auf dem neuesten Stand zu halten, um bekannte Schwachstellen zu beheben.

Social-Engineering-Angriffe:
Angreifer können Social-Engineering-Taktiken nutzen, um Benutzer dazu zu manipulieren, Aktionen auszuführen, die zu einer Ransomware-Infektion führen. Dazu kann gehören, Benutzer dazu zu verleiten, schädliche Dateien herunterzuladen oder auf schädliche Links zu klicken.