Xrp Ransomware krypterar offerdiskar
När vi undersökte nya prover av skadlig programvara, stötte vi på en ransomware-variant känd som Xrp, ansluten till GlobeImposter-familjen. Xrps primära mål är att kryptera filer, lägga till en e-postadress och filnamnstillägget ".xrp". Dessutom innehåller den en lösennota ("Read_For_Restore_File.html").
Till exempel ändrar Xrp filnamn som "1.jpg" till "1.jpg.[a.wyper@bejants.com].xrp" och "2.png" till "2.png.[a.wyper@bejants. com].xrp" och så vidare.
Lösenedeln informerar offren om att deras filer har genomgått kryptering med en robust RSA-2048-algoritm. Den hävdar att filåterställning är omöjlig utan en hemlig nyckel som innehas av angriparna.
För att återställa sina uppgifter instrueras offren att skapa ett e-postkonto med antingen protonmail.com eller cock.li. Noteringen varnar för att använda en vanlig e-postadress, eftersom den kan vara blockerad. Därefter uppmanas offren att skicka ett e-postmeddelande från den nyinrättade adressen till a.wyper@bejants.com, inklusive deras ID.
Angriparna lovar att svara med ytterligare instruktioner om att dekryptera filerna. Om det inte finns något svar inom 48 timmar, tillhandahålls en alternativ e-postadress, a.wyper@worldtravelnotebook.com.
Table of Contents
Xrp Ransom Note uppmanar offer att skapa en ny e-postadress
Den fullständiga texten i Xrp-lösennotan lyder som följer:
YOUR FILES ARE ENCRYPTED!
Your documents, photos, databases and all the rest files encrypted cryptographically strong algoritm RSA-2048.
Without a secret key stored with us, the restoration of your files is impossibleTo start the recovery process:
Register email box to protonmail.com or cock.li (do not waste time sending letters from your standard email address, they will all be blocked).
Send a email from your new email address to: a.wyper@bejants.com with your personal ID.
In response, we will send you further instructions on decrypting your files.
Ditt personliga ID:
PS
Det ligger i ditt intresse att svara så snart som möjligt för att säkerställa återställningen av dina filer, eftersom vi inte kommer att lagra dina dekrypteringsnycklar på vår server under en längre tid.
Kontrollera mappen "Spam" när du väntar på ett e-postmeddelande från oss.
Om vi inte svarar på ditt meddelande på mer än 48 timmar, skriv till backup-e-postmeddelandet: a.wyper@worldtravelnotebook.com
F: Fick du inget svar?
S: Kontrollera SPAM-mappen.
F: Min skräppostmapp är tom, vad ska jag göra?
S: Registrera e-postrutan till protonmail.com eller cock.li och utför stegen ovan.
Hur kan Ransomware infektera ditt system?
Ransomware kan infektera ett system på olika sätt, och angripare använder ofta sofistikerade tekniker för att utnyttja sårbarheter. Här är vanliga metoder genom vilka ransomware kan infektera ditt system:
Nätfiske-e-post: En av de vanligaste metoderna är genom nätfiske-e-post. Angripare skickar e-postmeddelanden som innehåller skadliga bilagor eller länkar. När användaren öppnar bilagan eller klickar på länken, laddas ransomware ner och exekveras på systemet.
Skadliga webbplatser: Besök på utsatta eller skadliga webbplatser kan utsätta ditt system för ransomware. Drive-by-nedladdningar kan förekomma, där skadlig programvara automatiskt laddas ner och installeras utan användarens vetskap eller samtycke.
Malvertising: Angripare använder skadliga annonser (malvertising) för att distribuera ransomware. Legitima webbplatser kan omedvetet visa skadliga annonser, och att klicka på dessa annonser kan leda till nedladdning av ransomware.
Utnyttja sårbarheter i programvara: Ransomware kan utnyttja sårbarheter i operativsystem, programvara eller applikationer. Om ditt system inte uppdateras regelbundet med säkerhetskorrigeringar blir det mer mottagligt för dessa attacker.
Remote Desktop Protocol (RDP)-attacker: Cyberkriminella kan försöka få obehörig åtkomst till ett system genom dåligt säkrade Remote Desktop Protocol-anslutningar. Väl inne kan de distribuera ransomware.
Social Engineering: Angripare kan använda social ingenjörsteknik för att lura användare att köra skadliga skript eller ladda ner infekterade filer. Detta kan inkludera att lura användare att ge onödiga behörigheter eller köra till synes harmlösa applikationer.
Vattenhålsattacker: I denna typ av attack kompromissar cyberkriminella webbplatser som ofta besöks av målgruppen. När användare besöker dessa webbplatser laddar de omedvetet ned skadlig programvara, inklusive ransomware.
Infekterade programvaruinstallatörer: Installatörer av skadlig programvara, ofta förklädda som legitima program eller uppdateringar, kan leverera ransomware när de körs.