Xro Ransomware wydaje się być wycieraczką

Nasi analitycy natknęli się na oprogramowanie ransomware Xro podczas oceny ostatnich zgłoszeń złośliwego oprogramowania. To złośliwe oprogramowanie należy do rodziny ransomware Xorist.

Po uruchomieniu próbki Xro w naszym środowisku testowym zainicjował szyfrowanie plików i zmodyfikował ich nazwy. Oryginalne nazwy plików zostały rozszerzone o sufiks „.xro”, w wyniku czego na przykład „1.jpg” stało się „1.jpg.xro”, a „2.png” zmieniło się w „2.png.xro” dla wszystkich dotkniętych akta.

Po zakończeniu procesu szyfrowania wygenerowano identyczne notatki z żądaniem okupu, które pojawiały się zarówno w wyskakującym oknie, jak i w pliku tekstowym o nazwie „JAK DECRYPT FILES.txt”. Treść wiadomości sugeruje, że to oprogramowanie ransomware jest potencjalnie nadal w fazie rozwoju ze względu na brak kluczowych informacji.

Wiadomość ransomware Xro, prezentowana zarówno w wyskakującym okienku, jak i w pliku tekstowym, informuje ofiarę o zaszyfrowaniu jej plików i zachęca ją do nawiązania komunikacji z atakującymi. Jednakże brak prawidłowych informacji kontaktowych oznacza, że oprogramowanie ransomware może być nadal w fazie rozwoju i ten brak szczegółów można rozwiązać w potencjalnych przyszłych wersjach.

W komunikacie pojawia się również ostrzeżenie informujące, że liczba prób podania klucza deszyfrującego (kodu) jest ograniczona. Jeśli ten limit zostanie przekroczony, dane, których to dotyczy, zostaną nieodwracalnie zniszczone.

List z żądaniem okupu Xro nie zawiera żadnych prawdziwych danych kontaktowych

Pełny tekst bardzo krótkiej noty o okupie Xro brzmi następująco:

Attention! All your files are encrypted!
To restore your files and access them,
please send an SMS with the text XXXX to YYYY number.

You have N attempts to enter the code.
When that number has been exceeded,
all the data irreversibly is destroyed.
Be careful when you enter the code!

W jaki sposób oprogramowanie ransomware podobne do Xro może zainfekować Twój system?

Ransomware, w tym jego odmiany, takie jak Xro, może zainfekować system za pomocą różnych wektorów. Zrozumienie tych metod infekcji ma kluczowe znaczenie dla wdrożenia skutecznych środków zapobiegawczych. Oto typowe sposoby, w jakie oprogramowanie ransomware może przedostać się do systemu:

E-maile phishingowe:
Główną metodą dostarczania oprogramowania ransomware są wiadomości e-mail phishingowe. Osoby atakujące często wysyłają e-maile zawierające złośliwe załączniki lub łącza. Jeśli użytkownicy nieświadomie je pobiorą lub klikną, oprogramowanie ransomware może zostać uruchomione.

Złośliwe strony internetowe:
Odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić system na pobieranie dyskowe. Te pliki do pobrania mogą instalować oprogramowanie ransomware bez wiedzy i zgody użytkownika.

Złośliwe reklamy:
Złośliwe reklamy lub złośliwe reklamy w legalnych witrynach internetowych mogą dostarczać oprogramowanie ransomware. Kliknięcie tych reklam może spowodować pobranie i uruchomienie złośliwego oprogramowania w systemie użytkownika.

Wykorzystywanie luk w zabezpieczeniach:
Ransomware może wykorzystywać luki w oprogramowaniu, aby uzyskać dostęp do systemu. Aktualizowanie systemu operacyjnego, oprogramowania i aplikacji w celu łatania znanych luk w zabezpieczeniach jest niezwykle istotne.

Ataki socjotechniczne:
Atakujący mogą stosować taktykę inżynierii społecznej, aby zmanipulować użytkowników w celu wykonania działań prowadzących do infekcji oprogramowaniem ransomware. Może to obejmować nakłanianie użytkowników do pobrania złośliwych plików lub kliknięcia szkodliwych łączy.