Rincrypt Ransomware bloqueia a maioria dos arquivos

Nossa equipe descobriu o ransomware Rincrypt durante uma análise de novas amostras de arquivos maliciosos. Ao executar uma amostra do Rincrypt em nosso sistema de teste, ele criptografou os arquivos e adicionou uma extensão “.rincrypt” aos seus nomes de arquivos.

Por exemplo, um arquivo originalmente chamado “1.jpg” seria transformado em “1.jpg.rincrypt”, e “2.png” se tornaria “2.png.rincrypt” e assim por diante. Assim que o processo de criptografia foi concluído, o Rincrypt gerou uma breve nota de resgate dentro de um arquivo de texto chamado "READ THIS.txt".

A mensagem do Rincrypt notifica a vítima de que seus arquivos estão inacessíveis devido à criptografia. A nota incentiva a vítima a entrar em contato com os invasores para adquirir a ferramenta de descriptografia.

Listas de notas de resgate do Rincrypt sem soma específica

A breve nota de resgate gerada pelo Rincrypt é a seguinte:

All of your files have been encrypted. send email here nevorah775@dacgu.com and buy decryptor.

Como o ransomware pode se infiltrar no seu computador?

O ransomware pode se infiltrar no seu computador através de vários métodos, incluindo:

E-mails de phishing: um método comum é por meio de e-mails de phishing que contêm anexos ou links maliciosos. Esses e-mails podem parecer provenientes de fontes legítimas, como instituições financeiras ou empresas conhecidas, mas na verdade contêm ransomware ou links para sites maliciosos que distribuem ransomware.

Sites maliciosos: visitar sites comprometidos ou maliciosos também pode levar a infecções por ransomware. Esses sites podem explorar vulnerabilidades em seu navegador ou plug-ins para entregar malware em seu sistema sem o seu conhecimento.

Malvertising: os invasores podem usar publicidade maliciosa, conhecida como malvertising, para distribuir ransomware. Anúncios maliciosos podem aparecer em sites legítimos e redirecionar os usuários para sites que hospedam ransomware ou tentar baixar malware no sistema do usuário diretamente do anúncio.

Kits de exploração: os cibercriminosos podem usar kits de exploração, que são kits de ferramentas que contêm várias explorações para vulnerabilidades conhecidas em software, para explorar automaticamente vulnerabilidades no sistema da vítima e entregar cargas úteis de ransomware.

Ataques de protocolo de área de trabalho remota (RDP): os invasores podem explorar credenciais fracas ou padrão para conexões de protocolo de área de trabalho remota (RDP) para obter acesso não autorizado ao sistema da vítima e implantar ransomware.

Downloads drive-by: O ransomware também pode ser entregue por meio de downloads drive-by, onde o malware é baixado e instalado no sistema da vítima sem seu conhecimento ou consentimento ao visitar um site comprometido.