Rans-A Ransomware is een Xorist-variant

Tijdens onze analyse van malwarevoorbeelden heeft ons team een nieuw type ransomware geïdentificeerd, bekend als Rans-A, dat tot de Xorist-familie behoort. Deze ransomware werkt door bestanden te versleutelen en vervolgens de extensie ".Rans-A" aan hun bestandsnamen toe te voegen. De ransomware maakt een tekstbestand aan met de naam "HOW TO DECRYPT FILES.txt" en geeft een foutmelding weer, die een losgeldbrief bevat.

Als de ransomware bijvoorbeeld de bestanden "1.jpg" en "2.png" versleutelt, verandert het hun naam in respectievelijk "1.jpg.Rans-A" en "2.png.Rans-A". In de losgeldbrief staat dat alle gegevens en back-ups op het apparaat zijn versleuteld en alleen kunnen worden opgehaald door contact op te nemen met het opgegeven e-mailadres, namelijk mollyrecup@protonmail.com. De notitie geeft ook aan dat de gegevens binnen een uur weer toegankelijk kunnen worden gemaakt.

Bovendien waarschuwt de losgeldbrief het slachtoffer om geen vergrendelde bestanden met de .Rans-A-extensie te verwijderen of een nieuwe naam te geven en het bericht op geen enkele website te delen. Het is belangrijk om voorzorgsmaatregelen te nemen om je te beschermen tegen ransomware-aanvallen en om regelmatig een back-up te maken van belangrijke gegevens.

Rans-A gebruikt een losgeldbriefje in het Portugees

De volledige tekst van de Rans-A losgeldbrief luidt als volgt:

Todos Dados/Backups foram cryptografados
een unica forma de obter os dados em seu perfeito estado é
neem contact op met geen e-mail: mollyrecup@protonmail.com
Dados em perfeito staat op 1 uur
prazo max para o contato 20/03/2023 12:00 ID-6732
(N = NÂO)

• N delete arquivos trancados
• Geen renomeie os arquivos trancados .Rans-A
• Geen bericht over deze site
  nem aanklacht pois podem bloquear este e-mail.

Hoe kan ransomware zoals Rans-A op uw systeem terechtkomen?

Ransomware zoals Rans-A kan uw systeem op verschillende manieren infecteren. Enkele van de meest voorkomende methoden zijn:

• E-mailbijlagen: Cybercriminelen sturen vaak phishing-e-mails met kwaadaardige bijlagen die ransomware bevatten. Deze bijlagen kunnen legitiem lijken, zoals een PDF- of Word-document, maar ze bevatten in feite de malware.
• Kwaadaardige links: aanvallers kunnen ook e-mails sturen met links naar kwaadwillende websites. Wanneer een slachtoffer op de link klikt, wordt de ransomware automatisch op zijn computer gedownload.
• Exploits: Ransomware kan ook worden geleverd via softwarekwetsbaarheden of exploits die niet door de gebruiker zijn gepatcht. Daarom is het belangrijk om uw software up-to-date te houden met de nieuwste beveiligingspatches.
• Valse software-updates: aanvallers kunnen valse software-updatewaarschuwingen maken die gebruikers misleiden om de malware te downloaden en te installeren.
• Malvertising: Cybercriminelen kunnen ook gebruikmaken van malvertising, waarbij schadelijke code wordt geïnjecteerd in legitieme advertenties die op websites worden weergegeven. Wanneer een gebruiker op de advertentie klikt, wordt de ransomware automatisch op zijn systeem gedownload.

Om uzelf te beschermen tegen ransomware-aanvallen, is het belangrijk om up-to-date antivirussoftware te gebruiken, geen verdachte e-mails en bijlagen te openen, voorzichtig te zijn met het klikken op links van onbekende bronnen en regelmatig een back-up te maken van uw belangrijke gegevens.