Xro Ransomware ser ut til å være en visker

Våre analytikere kom over Xro løsepengevare under evalueringen av nylige innsendinger av skadelig programvare. Denne ondsinnede programvaren er medlem av Xorist løsepengeprogramfamilien.

Etter å ha kjørt en prøve av Xro i vårt testmiljø, startet den filkryptering og endret navnene deres. De originale filnavnene ble utvidet med et ".xro"-suffiks, noe som resulterte i at for eksempel "1.jpg" ble til "1.jpg.xro" og "2.png" forvandlet til "2.png.xro" for alle berørte filer.

Etter å ha fullført krypteringsprosessen, ble identiske løsepenger generert, som dukket opp i både et popup-vindu og en ren tekstfil kalt "HVORDAN DEKRYPTERE FILES.txt." Innholdet i meldingen antyder at denne løsepengevaren potensielt fortsatt er under utvikling på grunn av fraværet av viktig informasjon.

Xro-ransomware-meldingen, presentert i både popup- og tekstfilen, informerer offeret om krypteringen av filene deres og oppfordrer dem til å etablere kommunikasjon med angriperne. Imidlertid innebærer fraværet av gyldig kontaktinformasjon at løsepengevaren fortsatt kan være under utvikling, og denne mangelen på detaljer kan løses i potensielle fremtidige utgivelser.

Meldingen gir også en advarsel som sier at det er et begrenset antall forsøk på å oppgi dekrypteringsnøkkelen (koden). Hvis denne grensen overskrides, vil de berørte dataene bli irreversibelt ødelagt.

Xro Ransom Note inneholder ingen reell kontaktinformasjon

Den fullstendige teksten til den svært korte Xro-løsepengenes notat lyder som følger:

Attention! All your files are encrypted!
To restore your files and access them,
please send an SMS with the text XXXX to YYYY number.

You have N attempts to enter the code.
When that number has been exceeded,
all the data irreversibly is destroyed.
Be careful when you enter the code!

Hvordan kan løsepengeprogram som ligner på Xro infisere systemet ditt?

Ransomware, inkludert varianter som Xro, kan infisere systemet ditt gjennom ulike vektorer. Å forstå disse infeksjonsmetodene er avgjørende for å implementere effektive forebyggende tiltak. Her er vanlige måter løsepengevare kan infiltrere et system:

Phishing-e-poster:
Phishing-e-poster er en primær leveringsmetode for løsepengeprogramvare. Angripere sender ofte e-poster som inneholder ondsinnede vedlegg eller lenker. Hvis brukere ubevisst laster ned eller klikker på disse, kan løsepengevaren kjøres.

Ondsinnede nettsteder:
Å besøke kompromitterte eller ondsinnede nettsteder kan utsette systemet ditt for drive-by-nedlastinger. Disse nedlastingene kan installere løsepengevare uten brukerens viten eller samtykke.

Malvertising:
Ondsinnede annonser, eller malvertisements, på legitime nettsteder kan levere løsepengeprogramvare. Ved å klikke på disse annonsene kan det utløse nedlasting og kjøring av skadelig programvare på brukerens system.

Utnyttelse av sårbarheter:
Ransomware kan utnytte programvaresårbarheter for å få tilgang til et system. Det er viktig å holde operativsystemet, programvaren og applikasjonene oppdatert for å reparere kjente sårbarheter.

Sosiale ingeniørangrep:
Angripere kan bruke sosial ingeniør-taktikk for å manipulere brukere til å utføre handlinger som fører til ransomware-infeksjon. Dette kan inkludere å lure brukere til å laste ned skadelige filer eller klikke på skadelige lenker.