Rans-A Ransomware é uma variante Xorista

Durante nossa análise de amostras de malware, nossa equipe identificou um novo tipo de ransomware conhecido como Rans-A, que pertence à família Xorist. Este ransomware funciona criptografando arquivos e adicionando a extensão ".Rans-A" aos seus nomes de arquivo. O ransomware cria um arquivo de texto chamado "HOW TO DECRYPT FILES.txt" e exibe uma mensagem de erro, que contém uma nota de resgate.

Por exemplo, se o ransomware criptografar os arquivos "1.jpg" e "2.png", ele mudará seus nomes para "1.jpg.Rans-A" e "2.png.Rans-A", respectivamente. A nota de resgate afirma que todos os dados e backups no dispositivo foram criptografados e só podem ser recuperados entrando em contato com o endereço de e-mail fornecido, que é mollyrecup@protonmail.com. A nota também indica que os dados podem ser disponibilizados novamente dentro de uma hora.

Além disso, a nota de resgate avisa a vítima para não excluir ou renomear nenhum arquivo bloqueado com a extensão .Rans-A e não compartilhar a mensagem em nenhum site. É importante tomar precauções para se proteger contra ataques de ransomware e fazer backup regularmente de dados importantes.

Rans-A usa nota de resgate escrita em português

O texto completo da nota de resgate Rans-A é o seguinte:

Todos Dados/Backups foram criptografados
a única forma de obter os dados em seu estado perfeito é
entrar em contato no Email: mollyrecup@protonmail.com
Dados em perfeito estado em até 1 hora
prazo max para o contato 20/03/2023 12:00 ID-6732
(N = NÂO)

• N deletar arquivos trancados
• N não renomeie os arquivos trancados .Rans-A
• N não postar esta mensagem em nenhum site
  nem denuncie pois podem bloquear este e-mail.

Como um ransomware como o Rans-A pode entrar no seu sistema?

Ransomware como Rans-A pode infectar seu sistema de várias maneiras. Alguns dos métodos mais comuns são:

• Anexos de e-mail: os cibercriminosos geralmente enviam e-mails de phishing com anexos maliciosos que contêm ransomware. Esses anexos podem parecer legítimos, como um documento PDF ou Word, mas na verdade contêm o malware.
• Links maliciosos: os invasores também podem enviar e-mails que contenham links para sites maliciosos. Quando uma vítima clica no link, o ransomware é baixado automaticamente em seu computador.
• Explorações: o ransomware também pode ser fornecido por meio de vulnerabilidades ou explorações de software que não foram corrigidas pelo usuário. É por isso que é importante manter seu software atualizado com os patches de segurança mais recentes.
• Atualizações falsas de software: os invasores podem criar alertas falsos de atualização de software que induzem os usuários a baixar e instalar o malware.
• Malvertising: os cibercriminosos também podem usar malvertising, que envolve a injeção de código malicioso em anúncios legítimos exibidos em sites. Quando um usuário clica no anúncio, o ransomware é baixado automaticamente em seu sistema.

Para se proteger contra ataques de ransomware, é importante usar um software antivírus atualizado, evitar abrir e-mails e anexos suspeitos, ter cuidado ao clicar em links de fontes desconhecidas e fazer backup regularmente de seus dados importantes.