TmrCrypt0r Ransomware vil låse filene dine

Under vår analyse av nyoppdagede skadelige filer, kom vi over et program kalt TmrCrypt0r, som er assosiert med Xorist løsepengevarefamilien.

Når den ble testet på systemet vårt, krypterte denne løsepengevaren forskjellige filer og endret filnavnene deres ved å legge til utvidelsen ".TMRCRYPT0R". For eksempel vil en fil opprinnelig kalt "1.jpg" vises som "1.jpg.TMRCRYPT0R", mens "2.png" vil bli "2.png.TMRCRYPT0R," og så videre. I tillegg til filkryptering, presenterte TmrCrypt0r løsepenger både i et popup-vindu og en tekstfil.

Løsesedlene formidlet et krav om betaling, og informerte ofrene om at dataene deres var kryptert. Angriperne ga en tre-dagers frist for å betale løsepenger for å få tilbake tilgang til de låste filene. Det spesifiserte beløpet ble oppført som $150, sannsynligvis denominert i amerikanske dollar, med betaling forventet i russiske rubler gjennom Yoomoney-lommeboken. Det er imidlertid viktig å merke seg at selv om løsepengene nevnte adressen til lommeboken, var den faktisk ikke inkludert. Dessuten ga disse meldingene ingen kontaktinformasjon som ofrene kunne kommunisere med angriperne gjennom.

Hvordan kan løsepengeprogramvare som TmrCrypt0r infisere hjemmedatamaskinen din?

Ransomware som TmrCrypt0r kan infisere hjemmedatamaskinen din gjennom ulike metoder. Her er noen vanlige måter:

• Ondsinnede e-postvedlegg: Nettkriminelle distribuerer ofte løsepengeprogramvare ved å sende phishing-e-poster som virker legitime. Disse e-postene kan inneholde infiserte vedlegg, for eksempel dokumenter eller ZIP-filer, som, når de åpnes, utløser løsepengevareinstallasjonsprosessen.
• Ondsinnede lenker: Nettkriminelle kan også distribuere løsepengevare gjennom ondsinnede lenker innebygd i e-poster, meldinger på sosiale medier eller nettsteder. Å klikke på slike lenker kan føre til nedlasting og kjøring av løsepengevare på datamaskinen din.
• Utnyttelsessett: Ransomware kan utnytte sårbarheter i programvare eller operativsystemer. Å besøke kompromitterte nettsteder eller klikke på ondsinnede annonser kan omdirigere deg til utnyttelsessett, som automatisk skanner datamaskinen din for sårbarheter og leverer løsepengevare hvis den blir funnet.
• Drive-by-nedlastinger: Ransomware kan lastes ned til datamaskinen din når du besøker kompromitterte nettsteder eller klikker på ondsinnede annonser uten din viten eller samtykke. Disse drive-by-nedlastingene utnytter sårbarheter i nettleseren din eller dens plugins.
• Falske programvareinstallatører og -oppdateringer: Nettkriminelle kan lage falske programvareinstallatører eller oppdateringer som etterligner legitime applikasjoner eller systemoppdateringer. Når du laster ned og kjører disse skadelige filene, kan løsepengevare installeres på datamaskinen din.
• Node-til-node-fildeling: Nedlasting av filer fra ikke-klarerte kilder, for eksempel peer-to-peer (P2P)-nettverk eller torrenter, øker risikoen for å laste ned infiserte filer innebygd med løsepengeprogramvare.