Программа-вымогатель Xrp шифрует диски жертв
При изучении новых образцов вредоносного ПО мы обнаружили вариант программы-вымогателя, известный как Xrp, принадлежащий семейству GlobeImposter. Основная цель Xrp — шифровать файлы, добавляя к именам файлов адрес электронной почты и расширение «.xrp». Кроме того, он включает записку о выкупе («Read_For_Restore_File.html»).
Например, Xrp изменяет имена файлов, такие как «1.jpg» на «1.jpg.[a.wyper@bejants.com].xrp», а «2.png» на «2.png.[a.wyper@bejants.com].xrp». com].xrp» и так далее.
В записке о выкупе жертвам сообщается, что их файлы были зашифрованы с использованием надежного алгоритма RSA-2048. В нем утверждается, что восстановление файлов невозможно без секретного ключа, которым располагают злоумышленники.
Чтобы восстановить свои данные, жертвам предлагается создать учетную запись электронной почты на сайте protonmail.com или Cock.li. В примечании предостерегается от использования стандартного адреса электронной почты, поскольку он может быть заблокирован. Впоследствии жертвам предлагается отправить электронное письмо с нового адреса на адрес a.wyper@bejants.com, включая свой идентификатор.
Злоумышленники обещают ответить дальнейшими инструкциями по расшифровке файлов. Если в течение 48 часов не будет ответа, будет предоставлен альтернативный адрес электронной почты: a.wyper@worldtravelnotebook.com.
Table of Contents
В записке о выкупе Xrp жертвам предлагается создать новый адрес электронной почты
Полный текст записки о выкупе Xrp выглядит следующим образом:
YOUR FILES ARE ENCRYPTED!
Your documents, photos, databases and all the rest files encrypted cryptographically strong algoritm RSA-2048.
Without a secret key stored with us, the restoration of your files is impossibleTo start the recovery process:
Register email box to protonmail.com or cock.li (do not waste time sending letters from your standard email address, they will all be blocked).
Send a email from your new email address to: a.wyper@bejants.com with your personal ID.
In response, we will send you further instructions on decrypting your files.
Ваш личный идентификатор:
ПС
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, поскольку мы не будем хранить ваши ключи расшифровки на нашем сервере в течение длительного времени.
Проверяйте папку «Спам», ожидая письма от нас.
Если мы не ответим на ваше сообщение более 48 часов, напишите на резервный адрес электронной почты: a.wyper@worldtravelnotebook.com
В: Не получили ответа?
О: Проверьте папку СПАМ.
В: Моя папка со спамом пуста, что мне делать?
О: Зарегистрируйте почтовый ящик на protonmail.com или Cock.li и выполните описанные выше действия.
Как программы-вымогатели могут заразить вашу систему?
Программы-вымогатели могут заразить систему различными способами, и злоумышленники часто используют сложные методы для использования уязвимостей. Вот распространенные методы, с помощью которых программы-вымогатели могут заразить вашу систему:
Фишинговые электронные письма. Один из наиболее распространенных методов — фишинговые электронные письма. Злоумышленники рассылают электронные письма, содержащие вредоносные вложения или ссылки. Как только пользователь открывает вложение или нажимает на ссылку, программа-вымогатель загружается и запускается в системе.
Вредоносные веб-сайты. Посещение взломанных или вредоносных веб-сайтов может подвергнуть вашу систему воздействию программ-вымогателей. Могут иметь место попутные загрузки, когда вредоносное ПО автоматически загружается и устанавливается без ведома или согласия пользователя.
Вредоносная реклама. Злоумышленники используют вредоносную рекламу (вредоносную рекламу) для распространения программ-вымогателей. Законные веб-сайты могут неосознанно отображать вредоносную рекламу, и нажатие на эту рекламу может привести к загрузке программы-вымогателя.
Использование уязвимостей программного обеспечения. Программы-вымогатели могут использовать уязвимости в операционных системах, программном обеспечении или приложениях. Если ваша система не обновляется регулярно с помощью исправлений безопасности, она становится более восприимчивой к этим атакам.
Атаки на протокол удаленного рабочего стола (RDP). Киберпреступники могут попытаться получить несанкционированный доступ к системе через плохо защищенные соединения по протоколу удаленного рабочего стола. Оказавшись внутри, они могут внедрить программу-вымогатель.
Социальная инженерия. Злоумышленники могут использовать методы социальной инженерии, чтобы заставить пользователей запускать вредоносные сценарии или загружать зараженные файлы. Это может включать в себя обман пользователей с целью предоставления ненужных разрешений или запуска, казалось бы, безобидных приложений.
Атаки Watering Hole: при атаках этого типа киберпреступники подвергают риску веб-сайты, которые часто посещает целевая аудитория. Когда пользователи посещают эти сайты, они неосознанно загружают вредоносное ПО, в том числе программы-вымогатели.
Установщики зараженного программного обеспечения. Установщики вредоносного программного обеспечения, часто замаскированные под законные приложения или обновления, при запуске могут доставлять программы-вымогатели.