TmrCrypt0r Ransomware bloqueará seus arquivos

Durante nossa análise de arquivos maliciosos recém-descobertos, encontramos um programa chamado TmrCrypt0r, que está associado à família de ransomware Xorist.

Quando testado em nosso sistema, este ransomware criptografou vários arquivos e modificou seus nomes de arquivo adicionando a extensão ".TMRCRYPT0R". Por exemplo, um arquivo originalmente denominado "1.jpg" apareceria como "1.jpg.TMRCRYPT0R", enquanto "2.png" se tornaria "2.png.TMRCRYPT0R" e assim por diante. Além da criptografia de arquivos, o TmrCrypt0r apresentou notas de resgate em uma janela pop-up e em um arquivo de texto.

As notas de resgate continham uma exigência de pagamento, informando às vítimas que seus dados haviam sido criptografados. Os invasores forneceram um prazo de três dias para pagar um resgate a fim de recuperar o acesso aos arquivos bloqueados. O valor especificado foi listado como $ 150, provavelmente denominado em dólares americanos, com pagamento esperado em rublos russos por meio da carteira Yoomoney. No entanto, é importante observar que, embora as notas de resgate mencionem o endereço da carteira, elas não foram incluídas. Além disso, essas mensagens não forneciam nenhuma informação de contato através da qual as vítimas pudessem se comunicar com os atacantes.

Como um ransomware como o TmrCrypt0r pode infectar seu computador doméstico?

Ransomware como o TmrCrypt0r pode infectar seu computador doméstico por meio de vários métodos. Aqui estão algumas maneiras comuns:

• Anexos de e-mail maliciosos: os cibercriminosos geralmente distribuem ransomware enviando e-mails de phishing que parecem legítimos. Esses e-mails podem conter anexos infectados, como documentos ou arquivos ZIP, que, quando abertos, acionam o processo de instalação do ransomware.
• Links maliciosos: os cibercriminosos também podem distribuir ransomware por meio de links maliciosos incorporados em e-mails, mensagens de mídia social ou sites. Clicar nesses links pode levar ao download e à execução de ransomware no seu computador.
• Kits de exploração: Ransomware pode explorar vulnerabilidades em software ou sistemas operacionais. Visitar sites comprometidos ou clicar em anúncios maliciosos pode redirecioná-lo para kits de exploração, que verificam automaticamente seu computador em busca de vulnerabilidades e fornecem ransomware, se forem encontrados.
• Drive-by Downloads: Ransomware pode ser baixado silenciosamente em seu computador quando você visita sites comprometidos ou clica em anúncios maliciosos sem o seu conhecimento ou consentimento. Esses downloads drive-by exploram vulnerabilidades em seu navegador ou em seus plug-ins.
• Instaladores e atualizações de software falsos: os cibercriminosos podem criar instaladores de software falsos ou atualizações que imitam aplicativos legítimos ou atualizações do sistema. Quando você baixa e executa esses arquivos maliciosos, o ransomware pode ser instalado no seu computador.
• Compartilhamento de arquivos ponto a ponto: o download de arquivos de fontes não confiáveis, como redes ponto a ponto (P2P) ou torrents, aumenta o risco de baixar arquivos infectados incorporados com ransomware.