A TmrCrypt0r Ransomware zárolja a fájljait
Az újonnan felfedezett rosszindulatú fájlok elemzése során a TmrCrypt0r nevű programra bukkantunk, amely a Xorist ransomware családhoz kapcsolódik.
A rendszerünkön tesztelve ez a zsarolóprogram különféle fájlokat titkosított, és a „.TMRCRYPT0R” kiterjesztéssel módosította a fájlneveiket. Például az eredetileg "1.jpg" nevű fájl "1.jpg.TMRCRYPT0R" néven jelenik meg, míg a "2.png" "2.png.TMRCRYPT0R" lesz, és így tovább. A fájltitkosításon kívül a TmrCrypt0r váltságdíj-jegyzeteket mutatott be előugró ablakban és szöveges fájlban is.
A váltságdíjkötelek fizetési felszólítást tartalmaztak, amely arról tájékoztatta az áldozatokat, hogy adataikat titkosították. A támadók három napos határidőt adtak a váltságdíj kifizetésére, hogy visszaszerezzenek hozzáférést a zárolt fájlokhoz. A megadott összeg 150 dollár volt, valószínűleg amerikai dollárban denominált, és a kifizetést orosz rubelben, a Yoomoney pénztárcán keresztül várták. Fontos azonban megjegyezni, hogy bár a váltságdíj-cédulákon szerepelt a pénztárca címe, az valójában nem szerepelt. Ráadásul ezek az üzenetek nem tartalmaztak olyan elérhetőséget, amelyen keresztül az áldozatok kommunikálhatnának a támadókkal.
Hogyan fertőzheti meg a TmrCrypt0r-hez hasonló Ransomware az otthoni számítógépét?
A zsarolóprogramok, mint például a TmrCrypt0r, különféle módszerekkel megfertőzhetik otthoni számítógépét. Íme néhány gyakori módszer:
- Rosszindulatú e-mail mellékletek: A kiberbűnözők gyakran jogszerűnek tűnő adathalász e-mailek küldésével terjesztik a zsarolóprogramokat. Ezek az e-mailek fertőzött mellékleteket, például dokumentumokat vagy ZIP-fájlokat tartalmazhatnak, amelyek megnyitásakor elindítják a zsarolóvírus telepítési folyamatát.
- Rosszindulatú linkek: A kiberbűnözők e-mailekbe, közösségi média üzenetekbe vagy webhelyekbe ágyazott rosszindulatú hivatkozásokon keresztül is terjeszthetik a zsarolóprogramokat. Az ilyen hivatkozásokra kattintva zsarolóprogramok letöltéséhez és futtatásához vezethet a számítógépen.
- Exploit Kits: A Ransomware kihasználhatja a szoftverek vagy operációs rendszerek sebezhetőségeit. A feltört webhelyek felkeresése vagy a rosszindulatú hirdetésekre való kattintás átirányíthatja Önt a kihasználó készletekhez, amelyek automatikusan átkutatják a számítógépet a sebezhetőségekért, és ha találnak, zsarolóprogramot küldenek.
- Drive-by letöltések: A Ransomware csendben letölthető a számítógépére, amikor feltört webhelyeket keres fel, vagy rosszindulatú hirdetésekre kattint az Ön tudta vagy beleegyezése nélkül. Ezek a meghajtó letöltések kihasználják a böngésző vagy annak bővítményeinek sebezhetőségét.
- Hamis szoftvertelepítők és -frissítések: A kiberbűnözők hamis szoftvertelepítőket vagy -frissítéseket hozhatnak létre, amelyek jogszerű alkalmazásokat vagy rendszerfrissítéseket utánoznak. Amikor letölti és futtatja ezeket a rosszindulatú fájlokat, ransomware települhet a számítógépére.
- Egyenrangú fájlmegosztás: A nem megbízható forrásokból, például egyenrangú (P2P) hálózatokból vagy torrentekből származó fájlok letöltése növeli a zsarolóvírussal beágyazott fertőzött fájlok letöltésének kockázatát.