Az Xrp Ransomware titkosítja az áldozat meghajtókat
Az új kártevő-minták vizsgálata során egy Xrp néven ismert ransomware-változatra bukkantunk, amely a GlobeImposter családhoz kapcsolódik. Az Xrp elsődleges célja a fájlok titkosítása, e-mail cím és ".xrp" kiterjesztéssel a fájlnevekhez. Ezenkívül tartalmaz egy váltságdíjat ("Read_For_Restore_File.html").
Az Xrp például az „1.jpg” fájlneveket „1.jpg[a.wyper@bejants.com].xrp”-re és a „2.png” fájlneveket „2.png.[a.wyper@bejants”-ra változtatja. com].xrp" és így tovább.
A váltságdíjjal értesítik az áldozatokat, hogy fájljaikat egy robusztus RSA-2048 algoritmussal titkosították. Azt állítja, hogy a fájl-visszaállítás lehetetlen a támadók által birtokolt titkos kulcs nélkül.
Adataik visszaszerzéséhez az áldozatokat arra utasítják, hogy hozzanak létre egy e-mail fiókot a protonmail.com vagy a cock.li oldalon. A megjegyzés figyelmeztet arra, hogy ne használjon szabványos e-mail címet, mivel az blokkolható. Ezt követően az áldozatokat arra utasítják, hogy küldjenek egy e-mailt az újonnan létrehozott címről az a.wyper@bejants.com címre, beleértve az azonosítójukat.
A támadók ígéretet tesznek arra, hogy további utasításokat adnak a fájlok visszafejtésére vonatkozóan. Ha 48 órán belül nem érkezik válasz, egy másik e-mail címet adunk meg, a.wyper@worldtravelnotebook.com.
Table of Contents
Az Xrp Ransom Note felszólítja az áldozatokat, hogy adjanak meg új e-mail címet
Az Xrp váltságdíjról szóló értesítés teljes szövege a következő:
YOUR FILES ARE ENCRYPTED!
Your documents, photos, databases and all the rest files encrypted cryptographically strong algoritm RSA-2048.
Without a secret key stored with us, the restoration of your files is impossibleTo start the recovery process:
Register email box to protonmail.com or cock.li (do not waste time sending letters from your standard email address, they will all be blocked).
Send a email from your new email address to: a.wyper@bejants.com with your personal ID.
In response, we will send you further instructions on decrypting your files.
Személyi azonosítód:
PS
Az Ön érdeke, hogy mielőbb válaszoljon, hogy biztosítsa a fájljai helyreállítását, mert a visszafejtő kulcsait nem tároljuk sokáig szerverünkön.
Ellenőrizze a "Spam" mappát, amikor e-mailre vár.
Ha több mint 48 órán keresztül nem válaszolunk az üzenetére, írjon a biztonsági e-mail címre: a.wyper@worldtravelnotebook.com
K: Nem kapott választ?
V: Ellenőrizze a SPAM mappát.
K: A spam mappám üres, mit tegyek?
V: Regisztrálja az e-mail fiókot a protonmail.com vagy a cock.li oldalon, és hajtsa végre a fenti lépéseket.
Hogyan fertőzheti meg a Ransomware a rendszerét?
A zsarolóprogramok különféle módokon megfertőzhetik a rendszert, és a támadók gyakran alkalmaznak kifinomult technikákat a sebezhetőségek kihasználására. Íme a gyakori módszerek, amelyeken keresztül a zsarolóprogramok megfertőzhetik a rendszert:
Adathalász e-mailek: Az egyik legelterjedtebb módszer az adathalász e-mailek. A támadók rosszindulatú mellékleteket vagy linkeket tartalmazó e-maileket küldenek. Miután a felhasználó megnyitja a mellékletet, vagy rákattint a hivatkozásra, a zsarolóprogram letöltődik és végrehajtódik a rendszeren.
Rosszindulatú webhelyek: Ha feltört vagy rosszindulatú webhelyeket keres fel, rendszere ki van téve a zsarolóprogramoknak. Drive-by letöltések előfordulhatnak, amikor a rosszindulatú programok automatikusan letöltésre és telepítésre kerülnek a felhasználó tudta vagy beleegyezése nélkül.
Rosszindulatú hirdetések: A támadók rosszindulatú hirdetéseket (rosszindulatú hirdetéseket) használnak zsarolóprogramok terjesztésére. A legitim webhelyek tudtukon kívül rosszindulatú hirdetéseket jeleníthetnek meg, és ezekre a hirdetésekre való kattintás zsarolóprogramok letöltéséhez vezethet.
Szoftver sebezhetőségeinek kihasználása: A Ransomware kihasználhatja az operációs rendszerek, szoftverek vagy alkalmazások sebezhetőségeit. Ha a rendszert nem frissítik rendszeresen biztonsági javításokkal, akkor érzékenyebbé válik ezekre a támadásokra.
Távoli asztali protokoll (RDP) támadások: A kiberbűnözők megkísérelhetnek jogosulatlan hozzáférést szerezni a rendszerhez a rosszul védett Remote Desktop Protocol-kapcsolatokon keresztül. Ha bejutottak, telepíthetik a zsarolóprogramokat.
Social Engineering: A támadók social engineering technikákat alkalmazhatnak, hogy rávegyék a felhasználókat rosszindulatú szkriptek futtatására vagy fertőzött fájlok letöltésére. Ez magában foglalhatja a felhasználók megtévesztését szükségtelen engedélyek megadására vagy ártalmatlannak tűnő alkalmazások futtatására.
Támadások: Az ilyen típusú támadások során a kiberbűnözők feltörik a célközönség által gyakran látogatott webhelyeket. Amikor a felhasználók felkeresik ezeket a webhelyeket, tudtukon kívül rosszindulatú programokat töltenek le, beleértve a zsarolóprogramokat is.
Fertőzött szoftvertelepítők: A rosszindulatú szoftvertelepítők, amelyeket gyakran legitim alkalmazásoknak vagy frissítéseknek álcáznak, futtatásukkor zsarolóprogramokat szállíthatnak.