Το Xrp Ransomware κρυπτογραφεί τις μονάδες δίσκου θυμάτων
Κατά την εξέταση νέων δειγμάτων κακόβουλου λογισμικού, συναντήσαμε μια παραλλαγή ransomware γνωστή ως Xrp, που σχετίζεται με την οικογένεια GlobeImposter. Ο πρωταρχικός στόχος του Xrp είναι να κρυπτογραφεί αρχεία, προσθέτοντας μια διεύθυνση email και την επέκταση ".xrp" στα ονόματα αρχείων. Επιπλέον, περιλαμβάνει μια σημείωση λύτρων ("Read_For_Restore_File.html").
Για παράδειγμα, το Xrp αλλάζει ονόματα αρχείων όπως "1.jpg" σε "1.jpg.[a.wyper@bejants.com].xrp" και "2.png" σε "2.png.[a.wyper@bejants. com].xrp" και ούτω καθεξής.
Το σημείωμα λύτρων ενημερώνει τα θύματα ότι τα αρχεία τους έχουν υποστεί κρυπτογράφηση χρησιμοποιώντας έναν ισχυρό αλγόριθμο RSA-2048. Ισχυρίζεται ότι η αποκατάσταση αρχείων είναι αδύνατη χωρίς ένα μυστικό κλειδί που κρατούν οι εισβολείς.
Για να ανακτήσουν τα δεδομένα τους, τα θύματα λαμβάνουν οδηγίες να δημιουργήσουν έναν λογαριασμό email είτε με το protonmail.com είτε με το cock.li. Η σημείωση προειδοποιεί να μην χρησιμοποιείτε μια τυπική διεύθυνση email, καθώς μπορεί να αποκλειστεί. Στη συνέχεια, τα θύματα καλούνται να στείλουν ένα email από τη νεοσύστατη διεύθυνση στη διεύθυνση a.wyper@bejants.com, συμπεριλαμβανομένης της ταυτότητάς τους.
Οι εισβολείς δεσμεύονται να απαντήσουν με περαιτέρω οδηγίες για την αποκρυπτογράφηση των αρχείων. Εάν δεν υπάρξει απάντηση εντός 48 ωρών, παρέχεται μια εναλλακτική διεύθυνση ηλεκτρονικού ταχυδρομείου, a.wyper@worldtravelnotebook.com.
Table of Contents
Το Xrp Ransom Note λέει στα θύματα να δημιουργήσουν νέα διεύθυνση email
Το πλήρες κείμενο του σημειώματος λύτρων Xrp έχει ως εξής:
YOUR FILES ARE ENCRYPTED!
Your documents, photos, databases and all the rest files encrypted cryptographically strong algoritm RSA-2048.
Without a secret key stored with us, the restoration of your files is impossibleTo start the recovery process:
Register email box to protonmail.com or cock.li (do not waste time sending letters from your standard email address, they will all be blocked).
Send a email from your new email address to: a.wyper@bejants.com with your personal ID.
In response, we will send you further instructions on decrypting your files.
Η προσωπική σας ταυτότητα:
ΥΣΤΕΡΟΓΡΑΦΟ
Είναι προς το συμφέρον σας να απαντήσετε το συντομότερο δυνατό για να διασφαλίσετε την ανάκτηση των αρχείων σας, γιατί δεν θα αποθηκεύσουμε τα κλειδιά αποκρυπτογράφησης σας στον διακομιστή μας για μεγάλο χρονικό διάστημα.
Ελέγξτε τον φάκελο "Ανεπιθύμητα" όταν περιμένετε ένα email από εμάς.
Εάν δεν απαντήσουμε στο μήνυμά σας για περισσότερες από 48 ώρες, γράψτε στο εφεδρικό email: a.wyper@worldtravelnotebook.com
Ε: Δεν λάβατε απάντηση;
Α: Ελέγξτε το φάκελο SPAM.
Ε: Ο φάκελος ανεπιθύμητης αλληλογραφίας μου είναι κενός, τι πρέπει να κάνω;
Α: Καταχωρίστε το email στο protonmail.com ή το cock.li και κάντε τα παραπάνω βήματα.
Πώς μπορεί το Ransomware να μολύνει το σύστημά σας;
Το Ransomware μπορεί να μολύνει ένα σύστημα με διάφορα μέσα και οι επιτιθέμενοι συχνά χρησιμοποιούν εξελιγμένες τεχνικές για να εκμεταλλευτούν τα τρωτά σημεία. Ακολουθούν κοινές μέθοδοι μέσω των οποίων το ransomware μπορεί να μολύνει το σύστημά σας:
Ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος: Μία από τις πιο διαδεδομένες μεθόδους είναι μέσω μηνυμάτων ηλεκτρονικού ψαρέματος. Οι εισβολείς στέλνουν email που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Μόλις ο χρήστης ανοίξει το συνημμένο ή κάνει κλικ στον σύνδεσμο, το ransomware κατεβάζεται και εκτελείται στο σύστημα.
Κακόβουλοι ιστότοποι: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί να εκθέσει το σύστημά σας σε ransomware. Ενδέχεται να προκύψουν λήψεις μέσω Drive, όπου γίνεται αυτόματη λήψη και εγκατάσταση κακόβουλου λογισμικού χωρίς τη γνώση ή τη συγκατάθεση του χρήστη.
Malvertising: Οι επιτιθέμενοι χρησιμοποιούν κακόβουλες διαφημίσεις (malvertising) για τη διανομή ransomware. Οι νόμιμοι ιστότοποι ενδέχεται να εμφανίζουν εν αγνοία τους κακόβουλες διαφημίσεις και το κλικ σε αυτές τις διαφημίσεις μπορεί να οδηγήσει στη λήψη ransomware.
Εκμετάλλευση ευπαθειών λογισμικού: Το Ransomware μπορεί να εκμεταλλευτεί ευπάθειες σε λειτουργικά συστήματα, λογισμικό ή εφαρμογές. Εάν το σύστημά σας δεν ενημερώνεται τακτικά με ενημερώσεις κώδικα ασφαλείας, γίνεται πιο ευαίσθητο σε αυτές τις επιθέσεις.
Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Οι εγκληματίες του κυβερνοχώρου ενδέχεται να επιχειρήσουν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα μέσω κακώς ασφαλών συνδέσεων πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας. Μόλις μπουν μέσα, μπορούν να αναπτύξουν ransomware.
Κοινωνική μηχανική: Οι εισβολείς ενδέχεται να χρησιμοποιήσουν τεχνικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες να τρέξουν κακόβουλα σενάρια ή να κατεβάσουν μολυσμένα αρχεία. Αυτό μπορεί να περιλαμβάνει την εξαπάτηση των χρηστών για τη χορήγηση περιττών αδειών ή την εκτέλεση φαινομενικά αβλαβών εφαρμογών.
Επιθέσεις Watering Hole: Σε αυτόν τον τύπο επίθεσης, οι εγκληματίες του κυβερνοχώρου παραβιάζουν ιστότοπους που επισκέπτονται συχνά το κοινό-στόχο. Όταν οι χρήστες επισκέπτονται αυτούς τους ιστότοπους, κατεβάζουν εν αγνοία τους κακόβουλο λογισμικό, συμπεριλαμβανομένου ransomware.
Μολυσμένα προγράμματα εγκατάστασης λογισμικού: Προγράμματα εγκατάστασης κακόβουλου λογισμικού, που συχνά μεταμφιέζονται ως νόμιμες εφαρμογές ή ενημερώσεις, μπορούν να παραδώσουν ransomware όταν εκτελούνται.
