Ransomware Rincrypt blokuje większość plików

Nasz zespół odkrył oprogramowanie ransomware Rincrypt podczas analizy nowych próbek złośliwych plików. Po uruchomieniu próbki Rincrypt w naszym systemie testowym zaczął szyfrować pliki i dodawać do ich nazw rozszerzenie „.rincrypt”.

Na przykład plik pierwotnie nazwany „1.jpg” zostanie przekształcony na „1.jpg.rincrypt”, a plik „2.png” zmieni się na „2.png.rincrypt” i tak dalej. Po zakończeniu procesu szyfrowania Rincrypt wygenerował krótką notatkę z żądaniem okupu w pliku tekstowym o nazwie „READThis.txt”.

Wiadomość od Rincrypt powiadamia ofiarę, że jej pliki są teraz niedostępne ze względu na szyfrowanie. W notatce namawia się ofiarę, aby skontaktowała się z atakującymi w celu zakupu narzędzia deszyfrującego.

Notatka o okupie Rincrypt nie podaje konkretnej kwoty

Krótka notatka o okupie wygenerowana przez Rincrypt brzmi następująco:

All of your files have been encrypted. send email here nevorah775@dacgu.com and buy decryptor.

W jaki sposób oprogramowanie ransomware może przedostać się do Twojego komputera?

Ransomware może przedostać się do Twojego komputera na różne sposoby, w tym:

E-maile phishingowe: Jedną z powszechnych metod są e-maile phishingowe zawierające złośliwe załączniki lub łącza. Te e-maile mogą sprawiać wrażenie, że pochodzą z legalnych źródeł, takich jak instytucje finansowe lub znane firmy, ale w rzeczywistości zawierają oprogramowanie ransomware lub łącza do złośliwych witryn internetowych rozpowszechniających oprogramowanie ransomware.

Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może również prowadzić do infekcji oprogramowaniem ransomware. Strony te mogą wykorzystywać luki w zabezpieczeniach Twojej przeglądarki internetowej lub wtyczek, aby bez Twojej wiedzy dostarczać złośliwe oprogramowanie do Twojego systemu.

Złośliwe reklamy: osoby atakujące mogą wykorzystywać złośliwe reklamy, zwane złośliwymi reklamami, do dystrybucji oprogramowania ransomware. Złośliwe reklamy mogą pojawiać się na legalnych stronach internetowych i mogą przekierowywać użytkowników do witryn zawierających oprogramowanie ransomware lub próbować pobrać złośliwe oprogramowanie do systemu użytkownika bezpośrednio z reklamy.

Zestawy exploitów: Cyberprzestępcy mogą używać zestawów exploitów, czyli zestawów narzędzi zawierających różne exploity wykorzystujące znane luki w oprogramowaniu, aby automatycznie wykorzystywać luki w systemie ofiary i dostarczać oprogramowanie ransomware.

Ataki na protokół Remote Desktop Protocol (RDP): osoby atakujące mogą wykorzystać słabe lub domyślne poświadczenia dla połączeń Remote Desktop Protocol (RDP), aby uzyskać nieautoryzowany dostęp do systemu ofiary i wdrożyć oprogramowanie ransomware.

Pobieranie typu drive-by: oprogramowanie ransomware może być również dostarczane poprzez pobieranie typu drive-by, podczas którego złośliwe oprogramowanie jest pobierane i instalowane w systemie ofiary bez jej wiedzy i zgody podczas odwiedzania zaatakowanej witryny internetowej.