Xrp Ransomware krypterer offerdrev
Mens vi undersøgte nye malware-prøver, stødte vi på en ransomware-variant kendt som Xrp, tilknyttet GlobeImposter-familien. Xrps primære mål er at kryptere filer ved at tilføje en e-mailadresse og ".xrp"-udvidelsen til filnavne. Derudover indeholder den en løsesumseddel ("Read_For_Restore_File.html").
For eksempel ændrer Xrp filnavne som "1.jpg" til "1.jpg.[a.wyper@bejants.com].xrp," og "2.png" til "2.png.[a.wyper@bejants. com].xrp," og så videre.
Løsesedlen informerer ofrene om, at deres filer har gennemgået kryptering ved hjælp af en robust RSA-2048-algoritme. Den hævder, at filgendannelse er umulig uden en hemmelig nøgle, som angriberne har.
For at gendanne deres data bliver ofre bedt om at oprette en e-mail-konto med enten protonmail.com eller cock.li. Notatet advarer mod at bruge en standard e-mailadresse, da den kan være blokeret. Efterfølgende henvises ofrene til at sende en e-mail fra den nyetablerede adresse til a.wyper@bejants.com, inklusive deres ID.
Angriberne lover at svare med yderligere instruktioner om dekryptering af filerne. Hvis der ikke er noget svar inden for 48 timer, oplyses en alternativ e-mailadresse, a.wyper@worldtravelnotebook.com.
Table of Contents
Xrp Ransom Note beder ofrene om at oprette en ny e-mail-adresse
Den fulde tekst af Xrp løsesum noten lyder som følger:
YOUR FILES ARE ENCRYPTED!
Your documents, photos, databases and all the rest files encrypted cryptographically strong algoritm RSA-2048.
Without a secret key stored with us, the restoration of your files is impossibleTo start the recovery process:
Register email box to protonmail.com or cock.li (do not waste time sending letters from your standard email address, they will all be blocked).
Send a email from your new email address to: a.wyper@bejants.com with your personal ID.
In response, we will send you further instructions on decrypting your files.
Dit personlige ID:
PS
Det er i din interesse at svare så hurtigt som muligt for at sikre gendannelse af dine filer, da vi ikke gemmer dine dekrypteringsnøgler på vores server i lang tid.
Tjek mappen "Spam", når du venter på en e-mail fra os.
Hvis vi ikke svarer på din besked i mere end 48 timer, så skriv til backup-e-mailen: a.wyper@worldtravelnotebook.com
Q: Fik du ikke svar?
A: Tjek SPAM-mappen.
Q: Min spam-mappe er tom, hvad skal jeg gøre?
A: Registrer e-mail-boksen til protonmail.com eller cock.li og udfør trinene ovenfor.
Hvordan kan Ransomware inficere dit system?
Ransomware kan inficere et system på forskellige måder, og angribere bruger ofte sofistikerede teknikker til at udnytte sårbarheder. Her er almindelige metoder, hvormed ransomware kan inficere dit system:
Phishing-e-mails: En af de mest udbredte metoder er gennem phishing-e-mails. Angribere sender e-mails, der indeholder ondsindede vedhæftede filer eller links. Når brugeren åbner den vedhæftede fil eller klikker på linket, downloades ransomwaren og udføres på systemet.
Ondsindede websteder: Besøg på kompromitterede eller ondsindede websteder kan udsætte dit system for ransomware. Drive-by downloads kan forekomme, hvor malware automatisk downloades og installeres uden brugerens viden eller samtykke.
Malvertising: Angribere bruger ondsindede reklamer (malvertising) til at distribuere ransomware. Legitime websteder kan ubevidst vise ondsindede annoncer, og klik på disse annoncer kan føre til download af ransomware.
Udnyttelse af softwaresårbarheder: Ransomware kan udnytte sårbarheder i operativsystemer, software eller applikationer. Hvis dit system ikke regelmæssigt opdateres med sikkerhedsrettelser, bliver det mere modtageligt for disse angreb.
Remote Desktop Protocol (RDP)-angreb: Cyberkriminelle kan forsøge at få uautoriseret adgang til et system gennem dårligt sikrede Remote Desktop Protocol-forbindelser. Når de først er inde, kan de implementere ransomware.
Social Engineering: Angribere kan bruge social engineering-teknikker til at narre brugere til at køre ondsindede scripts eller downloade inficerede filer. Dette kan omfatte at bedrage brugere til at give unødvendige tilladelser eller køre tilsyneladende harmløse applikationer.
Vandhulsangreb: I denne type angreb kompromitterer cyberkriminelle websteder, der ofte besøges af målgruppen. Når brugere besøger disse websteder, downloader de ubevidst malware, herunder ransomware.
Inficerede softwareinstallatører: Ondsindede softwareinstallatører, ofte forklædt som legitime applikationer eller opdateringer, kan levere ransomware, når de udføres.
