Rans-A Ransomware es una variante de Xorist

Durante nuestro análisis de muestras de malware, nuestro equipo identificó un nuevo tipo de ransomware conocido como Rans-A, que pertenece a la familia Xorist. Este ransomware funciona encriptando archivos y luego agregando la extensión ".Rans-A" a sus nombres de archivo. El ransomware crea un archivo de texto llamado "CÓMO DESCIFRAR ARCHIVOS.txt" y muestra un mensaje de error que contiene una nota de rescate.

Por ejemplo, si el ransomware cifra los archivos "1.jpg" y "2.png", cambiará sus nombres a "1.jpg.Rans-A" y "2.png.Rans-A", respectivamente. La nota de rescate indica que todos los datos y las copias de seguridad del dispositivo se cifraron y solo se pueden recuperar comunicándose con la dirección de correo electrónico proporcionada, que es mollyrecup@protonmail.com. La nota también indica que los datos pueden volver a estar accesibles dentro de una hora.

Además, la nota de rescate advierte a la víctima que no elimine ni cambie el nombre de ningún archivo bloqueado con la extensión .Rans-A y que no comparta el mensaje en ningún sitio web. Es importante tomar precauciones para protegerse contra los ataques de ransomware y realizar copias de seguridad periódicas de los datos importantes.

Rans-A usa una nota de rescate escrita en portugués

El texto completo de la nota de rescate de Rans-A dice lo siguiente:

Todos Dados/Backups foram criptografados
a unica forma de obtener os dados em seu perfeito estado é
entrar en contacto sin Email: mollyrecup@protonmail.com
Dados en perfecto estado en 1 hora
prazo max para o contacto 20/03/2023 12:00 ID-6732
(N = NÂO)

• N borrar arquivos trancados
• N não renomeie os arquivos trancados .Rans-A
• N não poste this mensagem em nenhum site
  no denuncie pois podem bloquee este correo electrónico.

¿Cómo puede ransomware como Rans-A entrar en su sistema?

El ransomware como Rans-A puede infectar su sistema de varias maneras. Algunos de los métodos más comunes son:

• Archivos adjuntos de correo electrónico: los ciberdelincuentes a menudo envían correos electrónicos de phishing con archivos adjuntos maliciosos que contienen ransomware. Estos archivos adjuntos pueden parecer legítimos, como un documento PDF o Word, pero en realidad contienen el malware.
• Enlaces maliciosos: los atacantes también pueden enviar correos electrónicos que contienen enlaces a sitios web maliciosos. Cuando una víctima hace clic en el enlace, el ransomware se descarga automáticamente en su computadora.
• Exploits: el ransomware también se puede entregar a través de vulnerabilidades de software o exploits que el usuario no ha reparado. Por eso es importante mantener su software actualizado con los últimos parches de seguridad.
• Actualizaciones de software falsas: los atacantes pueden crear alertas de actualizaciones de software falsas que engañan a los usuarios para que descarguen e instalen el malware.
• Publicidad maliciosa: los ciberdelincuentes también pueden usar publicidad maliciosa, que consiste en inyectar código malicioso en anuncios legítimos que se muestran en sitios web. Cuando un usuario hace clic en el anuncio, el ransomware se descarga automáticamente en su sistema.

Para protegerse contra los ataques de ransomware, es importante usar un software antivirus actualizado, evitar abrir correos electrónicos y archivos adjuntos sospechosos, tener cuidado al hacer clic en enlaces de fuentes desconocidas y hacer copias de seguridad de sus datos importantes con regularidad.