Rans-A Ransomware é uma variante Xorista
Durante nossa análise de amostras de malware, nossa equipe identificou um novo tipo de ransomware conhecido como Rans-A, que pertence à família Xorist. Este ransomware funciona criptografando arquivos e adicionando a extensão ".Rans-A" aos seus nomes de arquivo. O ransomware cria um arquivo de texto chamado "HOW TO DECRYPT FILES.txt" e exibe uma mensagem de erro, que contém uma nota de resgate.
Por exemplo, se o ransomware criptografar os arquivos "1.jpg" e "2.png", ele mudará seus nomes para "1.jpg.Rans-A" e "2.png.Rans-A", respectivamente. A nota de resgate afirma que todos os dados e backups no dispositivo foram criptografados e só podem ser recuperados entrando em contato com o endereço de e-mail fornecido, que é mollyrecup@protonmail.com. A nota também indica que os dados podem ser disponibilizados novamente dentro de uma hora.
Além disso, a nota de resgate avisa a vítima para não excluir ou renomear nenhum arquivo bloqueado com a extensão .Rans-A e não compartilhar a mensagem em nenhum site. É importante tomar precauções para se proteger contra ataques de ransomware e fazer backup regularmente de dados importantes.
Rans-A usa nota de resgate escrita em português
O texto completo da nota de resgate Rans-A é o seguinte:
Todos Dados/Backups foram criptografados
a única forma de obter os dados em seu estado perfeito é
entrar em contato no Email: mollyrecup@protonmail.com
Dados em perfeito estado em até 1 hora
prazo max para o contato 20/03/2023 12:00 ID-6732
(N = NÂO)
- N deletar arquivos trancados
- N não renomeie os arquivos trancados .Rans-A
- N não postar esta mensagem em nenhum site
nem denuncie pois podem bloquear este e-mail.
Como um ransomware como o Rans-A pode entrar no seu sistema?
Ransomware como Rans-A pode infectar seu sistema de várias maneiras. Alguns dos métodos mais comuns são:
- Anexos de e-mail: os cibercriminosos geralmente enviam e-mails de phishing com anexos maliciosos que contêm ransomware. Esses anexos podem parecer legítimos, como um documento PDF ou Word, mas na verdade contêm o malware.
- Links maliciosos: os invasores também podem enviar e-mails que contenham links para sites maliciosos. Quando uma vítima clica no link, o ransomware é baixado automaticamente em seu computador.
- Explorações: o ransomware também pode ser fornecido por meio de vulnerabilidades ou explorações de software que não foram corrigidas pelo usuário. É por isso que é importante manter seu software atualizado com os patches de segurança mais recentes.
- Atualizações falsas de software: os invasores podem criar alertas falsos de atualização de software que induzem os usuários a baixar e instalar o malware.
- Malvertising: os cibercriminosos também podem usar malvertising, que envolve a injeção de código malicioso em anúncios legítimos exibidos em sites. Quando um usuário clica no anúncio, o ransomware é baixado automaticamente em seu sistema.
Para se proteger contra ataques de ransomware, é importante usar um software antivírus atualizado, evitar abrir e-mails e anexos suspeitos, ter cuidado ao clicar em links de fontes desconhecidas e fazer backup regularmente de seus dados importantes.