TmrCrypt0r Ransomware zablokuje twoje pliki

Podczas naszej analizy nowo odkrytych szkodliwych plików natknęliśmy się na program o nazwie TmrCrypt0r, który jest powiązany z rodziną ransomware Xorist.

Podczas testowania w naszym systemie to ransomware zaszyfrowało różne pliki i zmodyfikowało ich nazwy, dodając rozszerzenie „.TMRCRYPT0R”. Na przykład plik pierwotnie nazwany „1.jpg” pojawiłby się jako „1.jpg.TMRCRYPT0R”, podczas gdy „2.png” stałby się „2.png.TMRCRYPT0R” i tak dalej. Oprócz szyfrowania plików, TmrCrypt0r przedstawiał żądania okupu zarówno w oknie pop-up, jak iw pliku tekstowym.

Żądanie okupu zawierało żądanie zapłaty, informując ofiary, że ich dane zostały zaszyfrowane. Atakujący wyznaczyli trzydniowy termin na zapłacenie okupu w celu odzyskania dostępu do zablokowanych plików. Podana kwota wynosiła 150 USD, prawdopodobnie denominowanych w dolarach amerykańskich, z oczekiwaną płatnością w rublach rosyjskich za pośrednictwem portfela Yoomoney. Należy jednak zauważyć, że chociaż żądanie okupu zawierało adres portfela, w rzeczywistości nie został on uwzględniony. Co więcej, wiadomości te nie zawierały żadnych informacji kontaktowych, za pośrednictwem których ofiary mogłyby komunikować się z atakującymi.

W jaki sposób ransomware, takie jak TmrCrypt0r, może zainfekować komputer domowy?

Ransomware, takie jak TmrCrypt0r, może zainfekować komputer domowy różnymi metodami. Oto kilka typowych sposobów:

• Złośliwe załączniki wiadomości e-mail: Cyberprzestępcy często rozpowszechniają oprogramowanie ransomware, wysyłając e-maile phishingowe, które wyglądają na wiarygodne. Te e-maile mogą zawierać zainfekowane załączniki, takie jak dokumenty lub pliki ZIP, które po otwarciu uruchamiają proces instalacji ransomware.
• Złośliwe łącza: Cyberprzestępcy mogą również rozpowszechniać oprogramowanie ransomware za pośrednictwem złośliwych łączy osadzonych w wiadomościach e-mail, wiadomościach w mediach społecznościowych lub na stronach internetowych. Kliknięcie takich linków może prowadzić do pobrania i uruchomienia oprogramowania ransomware na komputerze.
• Zestawy exploitów: oprogramowanie ransomware może wykorzystywać luki w oprogramowaniu lub systemach operacyjnych. Odwiedzanie zainfekowanych stron internetowych lub klikanie złośliwych reklam może przekierować Cię do zestawów exploitów, które automatycznie skanują Twój komputer w poszukiwaniu luk i dostarczają ransomware, jeśli zostaną znalezione.
• Drive-by Downloads: Oprogramowanie ransomware może zostać po cichu pobrane na Twój komputer, gdy odwiedzasz zainfekowane strony internetowe lub klikasz złośliwe reklamy bez Twojej wiedzy i zgody. Te ataki typu drive-by download wykorzystują luki w zabezpieczeniach Twojej przeglądarki lub jej wtyczek.
• Fałszywe instalatory i aktualizacje oprogramowania: Cyberprzestępcy mogą tworzyć fałszywe instalatory oprogramowania lub aktualizacje, które imitują legalne aplikacje lub aktualizacje systemu. Po pobraniu i uruchomieniu tych złośliwych plików na komputerze może zostać zainstalowane oprogramowanie ransomware.
• Udostępnianie plików peer-to-peer: Pobieranie plików z niezaufanych źródeł, takich jak sieci peer-to-peer (P2P) lub torrenty, zwiększa ryzyko pobrania zainfekowanych plików osadzonych w oprogramowaniu ransomware.