Xrp Ransomware krypterer offerstasjoner
Mens vi undersøkte nye prøver av skadelig programvare, fant vi en løsepengevarevariant kjent som Xrp, tilknyttet GlobeImposter-familien. Xrps primære mål er å kryptere filer, legge til en e-postadresse og utvidelsen ".xrp" til filnavn. I tillegg inkluderer den en løsepengenota ("Read_For_Restore_File.html").
For eksempel endrer Xrp filnavn som "1.jpg" til "1.jpg.[a.wyper@bejants.com].xrp," og "2.png" til "2.png.[a.wyper@bejants. com].xrp," og så videre.
Løsepengene informerer ofrene om at filene deres har gjennomgått kryptering ved hjelp av en robust RSA-2048-algoritme. Den hevder at filgjenoppretting er umulig uten en hemmelig nøkkel inneholdt av angriperne.
For å gjenopprette dataene sine, blir ofre bedt om å opprette en e-postkonto med enten protonmail.com eller cock.li. Merknaden advarer mot å bruke en standard e-postadresse, da den kan være blokkert. Deretter blir ofre bedt om å sende en e-post fra den nyetablerte adressen til a.wyper@bejants.com, inkludert deres ID.
Angriperne lover å svare med ytterligere instruksjoner om dekryptering av filene. Hvis det ikke er noe svar innen 48 timer, oppgis en alternativ e-postadresse, a.wyper@worldtravelnotebook.com.
Table of Contents
Xrp løsepengenotat ber ofrene oppgi ny e-postadresse
Den fullstendige teksten til Xrp løsepengenotatet lyder som følger:
YOUR FILES ARE ENCRYPTED!
Your documents, photos, databases and all the rest files encrypted cryptographically strong algoritm RSA-2048.
Without a secret key stored with us, the restoration of your files is impossibleTo start the recovery process:
Register email box to protonmail.com or cock.li (do not waste time sending letters from your standard email address, they will all be blocked).
Send a email from your new email address to: a.wyper@bejants.com with your personal ID.
In response, we will send you further instructions on decrypting your files.
Din personlige ID:
PS
Det er i din interesse å svare så snart som mulig for å sikre gjenoppretting av filene dine, fordi vi ikke vil lagre dekrypteringsnøklene dine på serveren vår på lenge.
Sjekk mappen "Spam" når du venter på en e-post fra oss.
Hvis vi ikke svarer på meldingen din på mer enn 48 timer, skriv til backup-e-posten: a.wyper@worldtravelnotebook.com
Spørsmål: Fikk du ikke svar?
A: Sjekk SPAM-mappen.
Spørsmål: Min søppelpostmapp er tom, hva bør jeg gjøre?
A: Registrer e-postboksen til protonmail.com eller cock.li og følg trinnene ovenfor.
Hvordan kan ransomware infisere systemet ditt?
Ransomware kan infisere et system på ulike måter, og angripere bruker ofte sofistikerte teknikker for å utnytte sårbarheter. Her er vanlige metoder som løsepengevare kan infisere systemet ditt:
Phishing-e-poster: En av de mest utbredte metodene er gjennom phishing-e-poster. Angripere sender e-poster som inneholder ondsinnede vedlegg eller lenker. Når brukeren åpner vedlegget eller klikker på lenken, lastes løsepengevaren ned og kjøres på systemet.
Ondsinnede nettsteder: Å besøke kompromitterte eller ondsinnede nettsteder kan utsette systemet ditt for løsepengeprogramvare. Drive-by-nedlastinger kan forekomme, der skadelig programvare lastes ned og installeres automatisk uten brukerens viten eller samtykke.
Malvertising: Angripere bruker ondsinnet reklame (malvertising) for å distribuere løsepengeprogramvare. Legitime nettsteder kan ubevisst vise ondsinnede annonser, og å klikke på disse annonsene kan føre til nedlasting av løsepengeprogramvare.
Utnyttelse av programvaresårbarheter: Ransomware kan utnytte sårbarheter i operativsystemer, programvare eller applikasjoner. Hvis systemet ditt ikke oppdateres regelmessig med sikkerhetsoppdateringer, blir det mer utsatt for disse angrepene.
Remote Desktop Protocol (RDP)-angrep: Cyberkriminelle kan forsøke å få uautorisert tilgang til et system gjennom dårlig sikret Remote Desktop Protocol-tilkoblinger. Når de er inne, kan de distribuere løsepengevare.
Sosial teknikk: Angripere kan bruke sosiale ingeniørteknikker for å lure brukere til å kjøre ondsinnede skript eller laste ned infiserte filer. Dette kan inkludere å lure brukere til å gi unødvendige tillatelser eller kjøre tilsynelatende harmløse applikasjoner.
Vannhullsangrep: I denne typen angrep kompromitterer nettkriminelle nettsteder som ofte besøkes av målgruppen. Når brukere besøker disse nettstedene, laster de ubevisst ned skadelig programvare, inkludert løsepengeprogramvare.
Infiserte programvareinstallatører: Ondsinnede programvareinstallatører, ofte forkledd som legitime applikasjoner eller oppdateringer, kan levere løsepengeprogramvare når de kjøres.
