Xrp Ransomware crypte les lecteurs des victimes
En examinant de nouveaux échantillons de logiciels malveillants, nous avons rencontré une variante de ransomware connue sous le nom de Xrp, affilié à la famille GlobeImposter. L'objectif principal de Xrp est de crypter les fichiers, en ajoutant une adresse e-mail et l'extension « .xrp » aux noms de fichiers. De plus, il comprend une demande de rançon (« Read_For_Restore_File.html »).
Par exemple, Xrp modifie les noms de fichiers tels que « 1.jpg » en « 1.jpg.[a.wyper@bejants.com].xrp » et « 2.png » en « 2.png.[a.wyper@bejants.com]. com].xrp", et ainsi de suite.
La demande de rançon informe les victimes que leurs fichiers ont été cryptés à l'aide d'un algorithme RSA-2048 robuste. Il affirme que la restauration de fichiers est impossible sans une clé secrète détenue par les attaquants.
Pour récupérer leurs données, les victimes sont invitées à créer un compte de messagerie avec protonmail.com ou cock.li. La note met en garde contre l’utilisation d’une adresse e-mail standard, car elle pourrait être bloquée. Par la suite, les victimes sont invitées à envoyer un e-mail depuis la nouvelle adresse établie à a.wyper@bejants.com, accompagné de leur pièce d'identité.
Les attaquants s'engagent à répondre avec des instructions supplémentaires sur le décryptage des fichiers. S'il n'y a pas de réponse dans les 48 heures, une autre adresse e-mail, a.wyper@worldtravelnotebook.com, est fournie.
Table of Contents
La note de rançon Xrp demande aux victimes de créer une nouvelle adresse e-mail
Le texte intégral de la demande de rançon Xrp se lit comme suit :
YOUR FILES ARE ENCRYPTED!
Your documents, photos, databases and all the rest files encrypted cryptographically strong algoritm RSA-2048.
Without a secret key stored with us, the restoration of your files is impossibleTo start the recovery process:
Register email box to protonmail.com or cock.li (do not waste time sending letters from your standard email address, they will all be blocked).
Send a email from your new email address to: a.wyper@bejants.com with your personal ID.
In response, we will send you further instructions on decrypting your files.
Votre identifiant personnel :
PS
Vous avez intérêt à répondre dans les plus brefs délais pour assurer la récupération de vos fichiers, car nous ne stockerons pas vos clés de décryptage sur notre serveur pendant une longue période.
Vérifiez le dossier "Spam" lorsque vous attendez un e-mail de notre part.
Si nous ne répondons pas à votre message pendant plus de 48 heures, écrivez à l'e-mail de sauvegarde : a.wyper@worldtravelnotebook.com
Q : Vous n'avez pas reçu de réponse ?
R : Vérifiez le dossier SPAM.
Q : Mon dossier spam est vide, que dois-je faire ?
R : Enregistrez votre boîte e-mail sur protonmail.com ou cock.li et suivez les étapes ci-dessus.
Comment un ransomware peut-il infecter votre système ?
Les ransomwares peuvent infecter un système de diverses manières, et les attaquants emploient souvent des techniques sophistiquées pour exploiter les vulnérabilités. Voici les méthodes courantes par lesquelles les ransomwares peuvent infecter votre système :
E-mails de phishing : l’une des méthodes les plus répandues consiste à envoyer des e-mails de phishing. Les attaquants envoient des e-mails contenant des pièces jointes ou des liens malveillants. Une fois que l'utilisateur ouvre la pièce jointe ou clique sur le lien, le ransomware est téléchargé et exécuté sur le système.
Sites Web malveillants : la visite de sites Web compromis ou malveillants peut exposer votre système à des ransomwares. Des téléchargements inopinés peuvent se produire, dans lesquels des logiciels malveillants sont automatiquement téléchargés et installés à l'insu ou sans le consentement de l'utilisateur.
Malvertising : les attaquants utilisent des publicités malveillantes (malvertising) pour distribuer des ransomwares. Les sites Web légitimes peuvent afficher sans le savoir des publicités malveillantes, et cliquer sur ces publicités peut conduire au téléchargement d’un ransomware.
Exploiter les vulnérabilités des logiciels : les ransomwares peuvent exploiter les vulnérabilités des systèmes d'exploitation, des logiciels ou des applications. Si votre système n'est pas régulièrement mis à jour avec des correctifs de sécurité, il devient plus vulnérable à ces attaques.
Attaques RDP (Remote Desktop Protocol) : les cybercriminels peuvent tenter d'obtenir un accès non autorisé à un système via des connexions Remote Desktop Protocol mal sécurisées. Une fois à l’intérieur, ils peuvent déployer un ransomware.
Ingénierie sociale : les attaquants peuvent utiliser des techniques d'ingénierie sociale pour inciter les utilisateurs à exécuter des scripts malveillants ou à télécharger des fichiers infectés. Cela peut inclure la tromperie des utilisateurs en leur faisant accorder des autorisations inutiles ou en exécutant des applications apparemment inoffensives.
Attaques de point d'eau : dans ce type d'attaque, les cybercriminels compromettent les sites Web fréquemment visités par le public cible. Lorsque les utilisateurs visitent ces sites, ils téléchargent sans le savoir des logiciels malveillants, notamment des rançongiciels.
Installateurs de logiciels infectés : les installateurs de logiciels malveillants, souvent déguisés en applications ou mises à jour légitimes, peuvent diffuser des ransomwares lorsqu'ils sont exécutés.
