Rans-A Ransomware est une variante Xorist

Au cours de notre analyse d'échantillons de malwares, notre équipe a identifié un nouveau type de ransomware connu sous le nom de Rans-A, qui appartient à la famille Xorist. Ce ransomware fonctionne en cryptant les fichiers, puis en ajoutant l'extension ".Rans-A" à leurs noms de fichiers. Le ransomware crée un fichier texte appelé "HOW TO DECRYPT FILES.txt" et affiche un message d'erreur contenant une note de rançon.

Par exemple, si le ransomware crypte les fichiers "1.jpg" et "2.png", il changera leurs noms en "1.jpg.Rans-A" et "2.png.Rans-A", respectivement. La note de rançon indique que toutes les données et sauvegardes sur l'appareil ont été cryptées et ne peuvent être récupérées qu'en contactant l'adresse e-mail fournie, qui est mollyrecup@protonmail.com. La note indique également que les données peuvent être rendues à nouveau accessibles dans l'heure qui suit.

De plus, la note de rançon avertit la victime de ne pas supprimer ou renommer les fichiers verrouillés avec l'extension .Rans-A et de ne partager le message sur aucun site Web. Il est important de prendre des précautions pour se protéger contre les attaques de rançongiciels et de sauvegarder régulièrement les données importantes.

Rans-A utilise une note de rançon rédigée en portugais

Le texte intégral de la note de rançon Rans-A se lit comme suit :

Todos Dados/Backups foram criptografados
a unica forma de obter os dados em seu perfeito estado é
n'entrez pas de contact par e-mail : mollyrecup@protonmail.com
Dados em perfeito estado em até 1 hora
prazo max para o contact 20/03/2023 12:00 ID-6732
(N = NO)

• N supprimer arquivos trancados
• N não renomeie os arquivos trancados .Rans-A
• N não poste esta mensagem em nenhum site
  nem denuncie pois podem bloquear este email.

Comment un rançongiciel comme Rans-A peut-il pénétrer sur votre système ?

Les ransomwares tels que Rans-A peuvent infecter votre système de plusieurs manières. Certaines des méthodes les plus courantes sont :

• Pièces jointes aux e-mails : les cybercriminels envoient souvent des e-mails de phishing avec des pièces jointes malveillantes contenant des ransomwares. Ces pièces jointes peuvent sembler légitimes, comme un document PDF ou Word, mais elles contiennent en réalité le logiciel malveillant.
• Liens malveillants : les attaquants peuvent également envoyer des e-mails contenant des liens vers des sites Web malveillants. Lorsqu'une victime clique sur le lien, le rançongiciel est automatiquement téléchargé sur son ordinateur.
• Exploits : les ransomwares peuvent également être diffusés via des vulnérabilités logicielles ou des exploits qui n'ont pas été corrigés par l'utilisateur. C'est pourquoi il est important de maintenir votre logiciel à jour avec les derniers correctifs de sécurité.
• Fausses mises à jour logicielles : les attaquants peuvent créer de fausses alertes de mise à jour logicielle qui incitent les utilisateurs à télécharger et à installer le logiciel malveillant.
• Publicité malveillante : les cybercriminels peuvent également utiliser la publicité malveillante, qui consiste à injecter du code malveillant dans des publicités légitimes affichées sur des sites Web. Lorsqu'un utilisateur clique sur l'annonce, le rançongiciel est automatiquement téléchargé sur son système.

Pour vous protéger contre les attaques de rançongiciels, il est important d'utiliser un logiciel antivirus à jour, d'éviter d'ouvrir des e-mails et des pièces jointes suspects, d'être prudent lorsque vous cliquez sur des liens provenant de sources inconnues et de sauvegarder régulièrement vos données importantes.