TmrCrypt0r Ransomware kommer att låsa dina filer

Under vår analys av nyupptäckta skadliga filer stötte vi på ett program som heter TmrCrypt0r, som är associerat med Xorist ransomware-familjen.

När den testades på vårt system, krypterade detta ransomware olika filer och ändrade deras filnamn genom att lägga till tillägget ".TMRCRYPT0R". Till exempel skulle en fil som ursprungligen hette "1.jpg" visas som "1.jpg.TMRCRYPT0R", medan "2.png" skulle bli "2.png.TMRCRYPT0R" och så vidare. Förutom filkryptering presenterade TmrCrypt0r lösensedlar både i ett popup-fönster och en textfil.

Lösensedlarna förmedlade ett krav på betalning och informerade offren om att deras data hade krypterats. Angriparna gav en tre dagars deadline för att betala en lösensumma för att återfå tillgång till de låsta filerna. Det angivna beloppet angavs som $150, troligen denominerat i amerikanska dollar, med betalning förväntad i ryska rubel genom Yoomoney-plånboken. Det är dock viktigt att notera att även om lösensedlarna nämnde plånbokens adress så ingick den faktiskt inte. Dessutom gav dessa meddelanden ingen kontaktinformation genom vilken offren kunde kommunicera med angriparna.

Hur kan ransomware som TmrCrypt0r infektera din hemdator?

Ransomware som TmrCrypt0r kan infektera din hemdator genom olika metoder. Här är några vanliga sätt:

• Skadliga e-postbilagor: Cyberbrottslingar distribuerar ofta ransomware genom att skicka nätfiske-e-postmeddelanden som verkar legitima. Dessa e-postmeddelanden kan innehålla infekterade bilagor, såsom dokument eller ZIP-filer, som, när de öppnas, utlöser installationen av ransomware.
• Skadliga länkar: Cyberbrottslingar kan också distribuera ransomware genom skadliga länkar inbäddade i e-postmeddelanden, meddelanden i sociala medier eller webbplatser. Att klicka på sådana länkar kan leda till nedladdning och körning av ransomware på din dator.
• Exploit Kit: Ransomware kan utnyttja sårbarheter i programvara eller operativsystem. Att besöka komprometterade webbplatser eller klicka på skadliga annonser kan omdirigera dig till exploateringssatser, som automatiskt skannar din dator efter sårbarheter och levererar ransomware om den hittas.
• Drive-by-nedladdningar: Ransomware kan laddas ner i tysthet till din dator när du besöker komprometterade webbplatser eller klickar på skadliga annonser utan din vetskap eller medgivande. Dessa drive-by-nedladdningar utnyttjar sårbarheter i din webbläsare eller dess plugins.
• Falska programvaruinstallatörer och uppdateringar: Cyberbrottslingar kan skapa falska programvaruinstallatörer eller uppdateringar som efterliknar legitima applikationer eller systemuppdateringar. När du laddar ner och kör dessa skadliga filer kan ransomware installeras på din dator.
• Peer-to-Peer fildelning: Att ladda ner filer från opålitliga källor, såsom peer-to-peer (P2P)-nätverk eller torrents, ökar risken för att ladda ner infekterade filer inbäddade med ransomware.