A Rans-A Ransomware egy Xorist változat

A rosszindulatú programok mintáinak elemzése során csapatunk egy új típusú, Rans-A néven ismert ransomware-t azonosított, amely a Xorist családhoz tartozik. Ez a zsarolóprogram úgy működik, hogy titkosítja a fájlokat, majd hozzáadja a ".Rans-A" kiterjesztést a fájlnevekhez. A zsarolóprogram létrehoz egy szöveges fájlt "HOGYAN MEGTÖLTŐ FÁJLOK.txt" néven, és hibaüzenetet jelenít meg, amely egy váltságdíjat tartalmazó megjegyzést tartalmaz.

Például, ha a zsarolóprogram az „1.jpg” és a „2.png” fájlokat titkosítja, a nevüket „1.jpg.Rans-A” és „2.png.Rans-A”-ra változtatja. A váltságdíjról szóló értesítésben az áll, hogy az eszközön lévő összes adat és biztonsági másolat titkosítva van, és csak a megadott e-mail címen, azaz mollyrecup@protonmail.com segítségével lehet visszakeresni. A megjegyzés azt is jelzi, hogy az adatok egy órán belül újra hozzáférhetővé tehetők.

Ezenkívül a váltságdíj feljegyzése figyelmezteti az áldozatot, hogy ne töröljön vagy nevezzen át semmilyen zárolt fájlt a .Rans-A kiterjesztéssel, és ne ossza meg az üzenetet egyetlen weboldalon sem. Fontos, hogy óvintézkedéseket tegyen a ransomware támadások elleni védelem érdekében, és rendszeresen készítsen biztonsági másolatot a fontos adatokról.

Rans-A portugálul írt váltságdíjat használ

A Rans-A váltságdíj teljes szövege a következő:

Todos Dados/Backups foram criptografados
a unica forma de obter os dados em seu perfeito estado é
Entrar em contato no E-mail: mollyrecup@protonmail.com
Dados em perfeito estado em até 1 hora
prazo max para o contato 20/03/2023 12:00 ID-6732
(N = NÂO)

• N törölje az arquivos trancados
• N não renomeie os arquivos trancados .Rans-A
• N não poste esta mensagem em nenhum site
  nem denuncie pois podem bloquear este email.

Hogyan kerülhet a Rans-A-hoz hasonló Ransomware a rendszerére?

A Rans-A-hoz hasonló zsarolóprogramok többféle módon is megfertőzhetik a rendszert. A leggyakoribb módszerek közül néhány:

• E-mail mellékletek: A kiberbűnözők gyakran küldenek adathalász e-maileket rosszindulatú mellékletekkel, amelyek zsarolóprogramot tartalmaznak. Ezek a mellékletek legitimnek tűnhetnek, például PDF- vagy Word-dokumentumként, de valójában tartalmazzák a rosszindulatú programot.
• Rosszindulatú linkek: A támadók olyan e-maileket is küldhetnek, amelyek rosszindulatú webhelyekre mutató hivatkozásokat tartalmaznak. Amikor egy áldozat rákattint a linkre, a zsarolóprogram automatikusan letöltődik a számítógépére.
• Kihasználások: A zsarolóprogramok olyan szoftversebezhetőségeken vagy kihasználásokon keresztül is szállíthatók, amelyeket a felhasználó nem javított ki. Ezért fontos, hogy szoftverét naprakészen tartsa a legújabb biztonsági javításokkal.
• Hamis szoftverfrissítések: A támadók hamis szoftverfrissítési riasztásokat hozhatnak létre, amelyek ráveszik a felhasználókat a rosszindulatú programok letöltésére és telepítésére.
• Rosszindulatú reklámozás: A kiberbűnözők rosszindulatú reklámozást is alkalmazhatnak, amely magában foglalja a rosszindulatú kód bejuttatását a webhelyeken megjelenő legitim hirdetésekbe. Amikor a felhasználó a hirdetésre kattint, a zsarolóprogram automatikusan letöltődik a rendszerére.

A ransomware támadások elleni védekezés érdekében fontos, hogy naprakész víruskereső szoftvereket használjon, kerülje a gyanús e-mailek és mellékletek megnyitását, legyen óvatos az ismeretlen forrásból származó hivatkozásokra kattintva, és rendszeresen készítsen biztonsági másolatot fontos adatairól.