Το xCor Ransomware κλειδώνει τα συστήματα θυμάτων

Το xCor είναι μια μορφή ransomware που δημιουργήθηκε με σκοπό την κρυπτογράφηση αρχείων, την αλλαγή των ονομάτων τους προσθέτοντας το αναγνωριστικό του θύματος, τη διεύθυνση email xcorp@decoymail.mx και την επέκταση ".xCor". Αυτό το κακόβουλο λογισμικό παρουσιάζει δύο σημειώσεις λύτρων, το ένα με τη μορφή αναδυόμενου παραθύρου και το άλλο ως αρχείο "info.txt". Η ομάδα μας συνάντησε το xCor κατά τη διάρκεια της έρευνάς μας για δείγματα κακόβουλου λογισμικού.

Επιπλέον, τα ευρήματά μας αποκάλυψαν ότι το xCor σχετίζεται με την οικογένεια ransomware Dharma. Για να δείξει πώς αυτό το ransomware χειρίζεται ονόματα αρχείων, παίρνει ένα αρχείο όπως το "1.jpg" και το μετατρέπει σε "1.jpg.id-1E857D00.[xcorp@decoymail.mx].xCor", αλλάζοντας παρόμοια άλλα αρχεία όπως "2 .png" σε "2.png.id-1E857D00.[xcorp@decoymail.mx].xCor", και ούτω καθεξής.

Το σημείωμα λύτρων ειδοποιεί τα θύματα ότι όλα τα αρχεία τους έχουν κρυπτογραφηθεί. Ωστόσο, προσφέρει επίσης διαβεβαίωση ότι τα αρχεία μπορούν να αποκατασταθούν. Δίνονται οδηγίες στα θύματα να επικοινωνήσουν με τους επιτιθέμενους μέσω email, είτε μέσω xcorp@decoymail.mx είτε μέσω whisper@mailfence.com.

Επιπλέον, η σημείωση αναφέρει ότι οι εισβολείς παρέχουν εγγύηση δωρεάν αποκρυπτογράφησης για έως και τρία αρχεία, χρησιμεύοντας ως επίδειξη της ικανότητάς τους. Ορισμένοι περιορισμοί τίθενται στα αρχεία που είναι κατάλληλα για αποκρυπτογράφηση, συμπεριλαμβανομένων περιορισμών μεγέθους (λιγότερο από 3 Mb) και περιορισμών περιεχομένου (όπως η εξαίρεση πολύτιμων πληροφοριών όπως βάσεις δεδομένων ή αντίγραφα ασφαλείας).

Τέλος, στα θύματα εκδίδονται δύο προειδοποιήσεις. Πρώτον, συνιστάται ανεπιφύλακτα να μην μετονομάσουν τα κρυπτογραφημένα αρχεία. Δεύτερον, αποθαρρύνονται να επιχειρήσουν να αποκρυπτογραφήσουν τα δεδομένα χρησιμοποιώντας λογισμικό τρίτων, καθώς κάτι τέτοιο μπορεί να οδηγήσει σε μόνιμη απώλεια δεδομένων.

Σημείωση xCor Ransom Παρουσιάστηκε σε δύο μορφές

Η μεγαλύτερη έκδοση του σημειώματος λύτρων xCor έχει ως εξής:

Όλα τα αρχεία σας έχουν κρυπτογραφηθεί!
Μην ανησυχείτε, μπορείτε να επιστρέψετε όλα τα αρχεία σας!
Αν θέλετε να τα επαναφέρετε, γράψτε στο mail: xcorp@decoymail.mx ΤΟ ID ΣΑΣ 1E857D00
Εάν δεν έχετε απαντήσει μέσω ταχυδρομείου εντός 12 ωρών, γράψτε μας με άλλο mail:whisper@mailfence.com
Δωρεάν αποκρυπτογράφηση ως εγγύηση
Πριν πληρώσετε μπορείτε να μας στείλετε έως και 3 αρχεία για δωρεάν αποκρυπτογράφηση. Το συνολικό μέγεθος των αρχείων πρέπει να είναι μικρότερο από 3 Mb (μη αρχειοθετημένο) και τα αρχεία δεν πρέπει να περιέχουν πολύτιμες πληροφορίες. (βάσεις δεδομένων, αντίγραφα ασφαλείας, μεγάλα φύλλα excel κ.λπ.)
Πώς να αποκτήσετε Bitcoins
Ο ευκολότερος τρόπος για να αγοράσετε bitcoin είναι ο ιστότοπος LocalBitcoins. Πρέπει να εγγραφείτε, να κάνετε κλικ στο «Αγοράστε bitcoins» και να επιλέξετε τον πωλητή κατά τρόπο πληρωμής και τιμή.
hxxps://localbitcoins.com/buy_bitcoins
Επίσης, μπορείτε να βρείτε άλλα μέρη για να αγοράσετε Bitcoins και οδηγό για αρχάριους εδώ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Προσοχή!
Μην μετονομάζετε κρυπτογραφημένα αρχεία.
Μην προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους στο δικό μας) ή να γίνετε θύμα απάτης.

Πώς μπορεί το Ransomware όπως το xCor να μολύνει τον υπολογιστή σας;

Το xCor και παρόμοιο ransomware μπορούν να μολύνουν τον υπολογιστή σας με διάφορους τρόπους. Ακολουθούν ορισμένες κοινές μέθοδοι που χρησιμοποιούνται από το ransomware για να διεισδύσουν σε συστήματα:

• Συνημμένα email: Ένας συνηθισμένος τρόπος εξάπλωσης ransomware είναι μέσω κακόβουλων συνημμένων email. Οι εγκληματίες του κυβερνοχώρου συχνά στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται νόμιμα και πειστικά, που περιέχουν μολυσμένα συνημμένα, όπως αρχεία PDF, έγγραφα Word ή εκτελέσιμα αρχεία. Εάν κατεβάσετε και ανοίξετε εν αγνοία σας τέτοια συνημμένα, το ransomware μπορεί να ενεργοποιηθεί και να αρχίσει να κρυπτογραφεί τα αρχεία σας.
• Email και ιστότοποι ηλεκτρονικού ψαρέματος: Το Ransomware μπορεί επίσης να διανεμηθεί μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος ή ψεύτικων ιστότοπων. Τα μηνύματα ηλεκτρονικού ψαρέματος έχουν σχεδιαστεί για να παραπλανούν τους παραλήπτες να κάνουν κλικ σε κακόβουλους συνδέσμους ή να κάνουν λήψη μολυσμένων αρχείων. Ομοίως, οι ψεύτικοι ιστότοποι μπορεί να σας ζητήσουν να κάνετε λήψη ενημερώσεων λογισμικού ή να εισαγάγετε προσωπικές πληροφορίες, αλλά αντ' αυτού, παραδίδουν ransomware στο σύστημά σας.
• Κιτ εκμετάλλευσης: Το Ransomware μπορεί να εκμεταλλευτεί ευπάθειες σε απαρχαιωμένο λογισμικό, λειτουργικά συστήματα ή προγράμματα περιήγησης ιστού. Τα κιτ εκμετάλλευσης είναι κακόβουλα εργαλεία που σαρώνουν τους υπολογιστές για αδυναμίες ασφαλείας και παραδίδουν ωφέλιμα φορτία ransomware για την εκμετάλλευση αυτών των τρωτών σημείων. Είναι σημαντικό να ενημερώνετε τακτικά το λογισμικό σας και να χρησιμοποιείτε αξιόπιστες ενημερώσεις κώδικα ασφαλείας για να ελαχιστοποιείτε τον κίνδυνο εκμετάλλευσης.
• Κακόβουλη διαφήμιση: Η κακόβουλη διαφήμιση ή κακόβουλη διαφήμιση περιλαμβάνει την έγχυση κακόβουλου κώδικα σε νόμιμες διαδικτυακές διαφημίσεις ή ιστότοπους. Με την απλή επίσκεψη σε έναν παραβιασμένο ιστότοπο ή κάνοντας κλικ σε μια μολυσμένη διαφήμιση, το ransomware μπορεί να ληφθεί κατά λάθος στον υπολογιστή σας χωρίς να το γνωρίζετε.
• Επιθέσεις Remote Desktop Protocol (RDP): Επιτιθέμενοι ransomware μερικές φορές στοχεύουν υπολογιστές με εκτεθειμένο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας. Εάν εκμεταλλευτούν με επιτυχία αδύναμα ή εύκολα εικασμένα διαπιστευτήρια σύνδεσης, αποκτούν μη εξουσιοδοτημένη πρόσβαση στο σύστημα και αναπτύσσουν ransomware.
• Λήψεις Drive-by: Οι λήψεις Drive-by πραγματοποιούνται όταν επισκέπτεστε παραβιασμένους ιστότοπους που έχουν κρυμμένο κακόβουλο κώδικα. Η απλή επίσκεψη σε αυτούς τους ιστότοπους μπορεί να ενεργοποιήσει την αυτόματη λήψη και εγκατάσταση του ransomware στον υπολογιστή σας.