Xro Ransomware semble être un essuie-glace

Nos analystes ont découvert le ransomware Xro lors de l'évaluation des récentes soumissions de logiciels malveillants. Ce logiciel malveillant fait partie de la famille des ransomwares Xorist.

Lors de l'exécution d'un échantillon de Xro sur notre environnement de test, il a lancé le cryptage des fichiers et modifié leurs noms. Les noms de fichiers d'origine ont été étendus avec un suffixe ".xro", ce qui fait que, par exemple, "1.jpg" devient "1.jpg.xro" et "2.png" se transforme en "2.png.xro" pour tous les fichiers concernés. des dossiers.

Une fois le processus de cryptage terminé, des notes de rançon identiques ont été générées, apparaissant à la fois dans une fenêtre contextuelle et dans un fichier en texte brut nommé « COMMENT DÉCRYPTER LES FICHIERS.txt ». Le contenu du message suggère que ce ransomware est potentiellement encore en développement en raison de l'absence d'informations cruciales.

Le message du ransomware Xro, présenté à la fois dans la fenêtre contextuelle et dans le fichier texte, informe la victime du cryptage de ses fichiers et l'encourage à établir une communication avec les attaquants. Cependant, l’absence d’informations de contact valides implique que le ransomware est peut-être encore en cours de développement, et ce manque de détails pourrait être résolu dans d’éventuelles versions futures.

Le message émet également un avertissement indiquant qu'il existe un nombre limité de tentatives pour fournir la clé de déchiffrement (code). Si cette limite est dépassée, les données concernées seront détruites de manière irréversible.

La note de rançon Xro ne contient aucune information de contact réelle

Le texte intégral de la très brève demande de rançon Xro se lit comme suit :

Attention! All your files are encrypted!
To restore your files and access them,
please send an SMS with the text XXXX to YYYY number.

You have N attempts to enter the code.
When that number has been exceeded,
all the data irreversibly is destroyed.
Be careful when you enter the code!

Comment un ransomware similaire à Xro peut-il infecter votre système ?

Les ransomwares, y compris des variantes comme Xro, peuvent infecter votre système via divers vecteurs. Comprendre ces méthodes d’infection est crucial pour mettre en œuvre des mesures de prévention efficaces. Voici les méthodes courantes par lesquelles les ransomwares peuvent infiltrer un système :

E-mails de phishing :
Les e-mails de phishing constituent la principale méthode de transmission des ransomwares. Les attaquants envoient souvent des e-mails contenant des pièces jointes ou des liens malveillants. Si les utilisateurs téléchargent ou cliquent dessus sans le savoir, le ransomware peut être exécuté.

Les sites Web malveillants:
La visite de sites Web compromis ou malveillants peut exposer votre système à des téléchargements intempestifs. Ces téléchargements peuvent installer des ransomwares à l'insu ou sans le consentement de l'utilisateur.

Publicité malveillante :
Les publicités malveillantes, ou publicités malveillantes, sur des sites Web légitimes peuvent transmettre des ransomwares. Cliquer sur ces publicités peut déclencher le téléchargement et l'exécution de logiciels malveillants sur le système de l'utilisateur.

Exploitation des vulnérabilités :
Les ransomwares peuvent exploiter les vulnérabilités logicielles pour accéder à un système. Il est essentiel de maintenir votre système d'exploitation, vos logiciels et vos applications à jour pour corriger les vulnérabilités connues.

Attaques d’ingénierie sociale :
Les attaquants peuvent utiliser des tactiques d’ingénierie sociale pour manipuler les utilisateurs afin qu’ils effectuent des actions conduisant à une infection par un ransomware. Cela peut inclure d’inciter les utilisateurs à télécharger des fichiers malveillants ou à cliquer sur des liens nuisibles.