TmrCrypt0r Ransomware bloccherà i tuoi file

Durante la nostra analisi dei file dannosi scoperti di recente, ci siamo imbattuti in un programma chiamato TmrCrypt0r, associato alla famiglia di ransomware Xorist.

Quando è stato testato sul nostro sistema, questo ransomware ha crittografato vari file e ne ha modificato i nomi aggiungendo l'estensione ".TMRCRYPT0R". Ad esempio, un file originariamente chiamato "1.jpg" apparirebbe come "1.jpg.TMRCRYPT0R", mentre "2.png" diventerebbe "2.png.TMRCRYPT0R" e così via. Oltre alla crittografia dei file, TmrCrypt0r presentava note di riscatto sia in una finestra pop-up che in un file di testo.

Le richieste di riscatto trasmettevano una richiesta di pagamento, informando le vittime che i loro dati erano stati crittografati. Gli aggressori hanno fornito una scadenza di tre giorni per il pagamento di un riscatto al fine di riottenere l'accesso ai file bloccati. L'importo specificato era di $ 150, probabilmente denominato in dollari USA, con pagamento previsto in rubli russi tramite il portafoglio Yoomoney. Tuttavia, è importante notare che sebbene le note di riscatto menzionassero l'indirizzo del portafoglio, in realtà non era incluso. Inoltre, questi messaggi non fornivano alcuna informazione di contatto attraverso la quale le vittime potessero comunicare con gli aggressori.

In che modo un ransomware come TmrCrypt0r può infettare il tuo computer di casa?

Ransomware come TmrCrypt0r può infettare il tuo computer di casa attraverso vari metodi. Ecco alcuni modi comuni:

• Allegati e-mail dannosi: i criminali informatici spesso distribuiscono ransomware inviando e-mail di phishing che sembrano legittime. Queste e-mail possono contenere allegati infetti, come documenti o file ZIP, che, una volta aperti, attivano il processo di installazione del ransomware.
• Collegamenti dannosi: i criminali informatici possono anche distribuire ransomware tramite collegamenti dannosi incorporati in e-mail, messaggi di social media o siti Web. Fare clic su tali collegamenti può portare al download e all'esecuzione di ransomware sul tuo computer.
• Kit di exploit: il ransomware può sfruttare le vulnerabilità nel software o nei sistemi operativi. Visitare siti Web compromessi o fare clic su annunci dannosi può reindirizzarti a exploit kit, che scansionano automaticamente il tuo computer alla ricerca di vulnerabilità e distribuiscono ransomware se trovati.
• Download drive-by: il ransomware può essere scaricato silenziosamente sul tuo computer quando visiti siti Web compromessi o fai clic su annunci pubblicitari dannosi a tua insaputa o consenso. Questi download drive-by sfruttano le vulnerabilità del tuo browser o dei suoi plug-in.
• Programmi di installazione e aggiornamenti software falsi: i criminali informatici possono creare programmi di installazione o aggiornamenti software falsi che imitano applicazioni legittime o aggiornamenti di sistema. Quando scarichi ed esegui questi file dannosi, il ransomware può essere installato sul tuo computer.
• Condivisione di file peer-to-peer: il download di file da fonti non attendibili, come reti peer-to-peer (P2P) o torrent, aumenta il rischio di scaricare file infetti incorporati con ransomware.