Rans-A Ransomware to wariant Xorist

Podczas analizy próbek złośliwego oprogramowania nasz zespół zidentyfikował nowy typ oprogramowania ransomware o nazwie Rans-A, który należy do rodziny Xorist. To ransomware działa poprzez szyfrowanie plików, a następnie dodanie rozszerzenia „.Rans-A” do ich nazw plików. Ransomware tworzy plik tekstowy o nazwie "HOW TO DECRYPT FILES.txt" i wyświetla komunikat o błędzie, który zawiera żądanie okupu.

Na przykład, jeśli ransomware zaszyfruje pliki "1.jpg" i "2.png", zmieni ich nazwy odpowiednio na "1.jpg.Rans-A" i "2.png.Rans-A". Żądanie okupu stwierdza, że wszystkie dane i kopie zapasowe na urządzeniu zostały zaszyfrowane i można je odzyskać tylko kontaktując się z podanym adresem e-mail, który jest mollyrecup@protonmail.com. Notatka wskazuje również, że dane mogą zostać ponownie udostępnione w ciągu jednej godziny.

Ponadto żądanie okupu ostrzega ofiarę, aby nie usuwała ani nie zmieniała nazw żadnych zablokowanych plików z rozszerzeniem .Rans-A i nie udostępniała wiadomości na żadnej stronie internetowej. Ważne jest, aby podjąć środki ostrożności w celu ochrony przed atakami ransomware i regularnie tworzyć kopie zapasowe ważnych danych.

Rans-A używa listu z żądaniem okupu napisanego w języku portugalskim

Pełny tekst żądania okupu Rans-A brzmi następująco:

Todos Dados/Backups foram criptografados
a unica forma de obter os dados em seu perfeito estado é
Napisz do mnie pod nr e-mail: mollyrecup@protonmail.com
Dados em perfeito estado em até 1 godzina
prazo max dla kontaktu 20.03.2023 12:00 ID-6732
(N = N O)

• N usuń arquivos trancados
• N não renomeie os arquivos trancados .Rans-A
• N não poste esta mensagem em nenhum miejscu
  nem denuncie pois podem bloquear este email.

W jaki sposób ransomware, takie jak Rans-A, może dostać się do twojego systemu?

Ransomware, takie jak Rans-A, może zainfekować twój system na kilka sposobów. Niektóre z najczęstszych metod to:

• Załączniki do wiadomości e-mail: Cyberprzestępcy często wysyłają wiadomości phishingowe ze złośliwymi załącznikami zawierającymi ransomware. Te załączniki mogą wyglądać na legalne, takie jak dokument PDF lub Word, ale w rzeczywistości zawierają złośliwe oprogramowanie.
• Złośliwe łącza: osoby atakujące mogą również wysyłać wiadomości e-mail zawierające łącza do złośliwych witryn internetowych. Gdy ofiara kliknie łącze, oprogramowanie ransomware jest automatycznie pobierane na jej komputer.
• Exploity: Oprogramowanie ransomware może być również dostarczane przez luki w oprogramowaniu lub exploity, które nie zostały załatane przez użytkownika. Dlatego ważne jest, aby aktualizować oprogramowanie za pomocą najnowszych poprawek bezpieczeństwa.
• Fałszywe aktualizacje oprogramowania: osoby atakujące mogą tworzyć fałszywe powiadomienia o aktualizacjach oprogramowania, które nakłaniają użytkowników do pobrania i zainstalowania złośliwego oprogramowania.
• Malvertising: Cyberprzestępcy mogą również wykorzystywać malvertising, który polega na wstrzykiwaniu złośliwego kodu do legalnych reklam wyświetlanych na stronach internetowych. Gdy użytkownik kliknie reklamę, oprogramowanie ransomware jest automatycznie pobierane do jego systemu.

Aby chronić się przed atakami ransomware, ważne jest, aby używać aktualnego oprogramowania antywirusowego, unikać otwierania podejrzanych wiadomości e-mail i załączników, uważać na linki z nieznanych źródeł i regularnie tworzyć kopie zapasowe ważnych danych.