Rans-A Ransomware — это вариант Xorist

В ходе анализа образцов вредоносных программ наша команда выявила новый тип программ-вымогателей, известный как Rans-A, который принадлежит к семейству Xorist. Эта программа-вымогатель работает, шифруя файлы, а затем добавляя к их именам расширение «.Rans-A». Программа-вымогатель создает текстовый файл под названием «КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt» и отображает сообщение об ошибке, содержащее примечание о выкупе.

Например, если вымогатель зашифрует файлы «1.jpg» и «2.png», он изменит их имена на «1.jpg.Rans-A» и «2.png.Rans-A» соответственно. В примечании о выкупе говорится, что все данные и резервные копии на устройстве были зашифрованы и могут быть получены только путем обращения по указанному адресу электронной почты: mollyrecup@protonmail.com. В примечании также указано, что данные могут снова стать доступными в течение одного часа.

Кроме того, примечание о выкупе предупреждает жертву не удалять и не переименовывать любые заблокированные файлы с расширением .Rans-A и не публиковать сообщение на каком-либо веб-сайте. Важно принять меры предосторожности для защиты от атак программ-вымогателей и регулярно создавать резервные копии важных данных.

Rans-A использует записку о выкупе, написанную на португальском языке

Полный текст записки о выкупе Rans-A выглядит следующим образом:

Todos Dados/Backups foram criptografados
a unica forma de obter os dados em seu perfeito estado é
введите контактный адрес электронной почты: mollyrecup@protonmail.com
Dados em perfeito estado em até 1 час
prazo max para o contato 20/03/2023 12:00 ID-6732
(N = NO)

• N удалить arquivos trancados
• N não renomeie os arquivos trancados .Rans-A
• Сайт N não poste esta mensagem em nenhum
  nem denuncie pois podem bloquear este email.

Как программы-вымогатели, такие как Rans-A, могут попасть в вашу систему?

Программы-вымогатели, такие как Rans-A, могут заразить вашу систему несколькими способами. Некоторые из наиболее распространенных методов:

• Вложения электронной почты. Киберпреступники часто отправляют фишинговые электронные письма с вредоносными вложениями, содержащими программы-вымогатели. Эти вложения могут казаться законными, например документ PDF или Word, но на самом деле они содержат вредоносное ПО.
• Вредоносные ссылки. Злоумышленники также могут отправлять электронные письма, содержащие ссылки на вредоносные веб-сайты. Когда жертва нажимает на ссылку, программа-вымогатель автоматически загружается на ее компьютер.
• Эксплойты: программы-вымогатели также могут быть доставлены через уязвимости программного обеспечения или эксплойты, которые не были исправлены пользователем. Вот почему важно обновлять программное обеспечение с помощью последних исправлений безопасности.
• Поддельные обновления программного обеспечения. Злоумышленники могут создавать поддельные предупреждения об обновлении программного обеспечения, которые обманом заставляют пользователей загружать и устанавливать вредоносное ПО.
• Вредоносная реклама: киберпреступники также могут использовать вредоносную рекламу, которая включает в себя внедрение вредоносного кода в законную рекламу, отображаемую на веб-сайтах. Когда пользователь нажимает на объявление, программа-вымогатель автоматически загружается в его систему.

Чтобы защитить себя от атак программ-вымогателей, важно использовать новейшее антивирусное программное обеспечение, не открывать подозрительные электронные письма и вложения, быть осторожным при переходе по ссылкам из неизвестных источников и регулярно создавать резервные копии важных данных.