Az xCor Ransomware lezárja az áldozat rendszereit

Az xCor a zsarolóvírusok egyik formája, amelyet azzal a szándékkal hoztak létre, hogy titkosítsa a fájlokat, módosítsa a nevüket az áldozat azonosítójának, xcorp@decoymail.mx e-mail címének és a „.xCor” kiterjesztéssel. Ez a rosszindulatú szoftver két váltságdíj-jegyzetet mutat be, az egyiket felugró ablak, a másik pedig "info.txt" fájl formájában. Csapatunk a rosszindulatú programok mintáinak vizsgálata során találkozott az xCorral.

Eredményeink feltárták továbbá, hogy az xCor a Dharma ransomware családhoz kapcsolódik. Annak szemléltetésére, hogy ez a zsarolóprogram hogyan manipulálja a fájlneveket, egy "1.jpg"-hez hasonló fájlt használ, és "1.jpg.id-1E857D00.[xcorp@decoymail.mx].xCor"-ra alakítja át, hasonlóan módosítva más fájlokat, például "2" .png" és "2.png.id-1E857D00.[xcorp@decoymail.mx].xCor" és így tovább.

A váltságdíj értesíti az áldozatokat, hogy minden fájljuk titkosítva van. Ugyanakkor megnyugvást is nyújt, hogy a fájlok visszaállíthatók. Az áldozatok utasításokat kapnak arra, hogy e-mailben lépjenek kapcsolatba a támadókkal, az xcorp@decoymail.mx vagy a whisper@mailfence.com címen.

Ezenkívül a feljegyzés kijelenti, hogy a támadók legfeljebb három fájl ingyenes visszafejtését garantálják, ezzel demonstrálva képességeiket. A visszafejthető fájlokra bizonyos korlátozások vonatkoznak, beleértve a méretkorlátozást (3Mb-nál kisebb) és a tartalmi korlátozásokat (például az értékes információk, például az adatbázisok vagy biztonsági másolatok kizárását).

Végül két figyelmeztetést is kapnak az áldozatok. Először is, határozottan nem javasoljuk a titkosított fájlok átnevezését. Másodszor, nem javasolják, hogy harmadik féltől származó szoftverrel próbálják meg visszafejteni az adatokat, mivel ez végleges adatvesztéshez vezethet.

xCor Ransom Note két formátumban bemutatva

Az xCor váltságdíj-jegyzet hosszabb változata a következőképpen szól:

Minden fájlod titkosítva lett!
Ne aggódjon, az összes fájlt visszaküldheti!
Ha vissza szeretné állítani őket, írjon a következő e-mail címre: xcorp@decoymail.mx AZ ÖN azonosítója 1E857D00
Ha 12 órán belül nem válaszol e-mailben, írjon nekünk egy másik e-mail címen: whisper@mailfence.com
Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 3 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 3 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)
Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.

Hogyan fertőzheti meg számítógépét a Ransomware, mint az xCor?

Az xCor és a hasonló ransomware különféle módon megfertőzheti számítógépét. Íme néhány gyakori módszer, amelyet a ransomware használ a rendszerekbe való behatolásra:

• E-mail mellékletek: A zsarolóvírusok terjedésének egyik gyakori módja a rosszindulatú e-mail mellékletek. A kiberbűnözők gyakran küldenek legitimnek és meggyőzőnek tűnő e-maileket, amelyek fertőzött mellékleteket, például PDF-eket, Word-dokumentumokat vagy futtatható fájlokat tartalmaznak. Ha tudtán kívül tölt le és nyit meg ilyen mellékleteket, a zsarolóvírus aktiválódhat, és megkezdheti a fájlok titkosítását.
• Adathalász e-mailek és webhelyek: A Ransomware terjeszthető adathalász e-maileken vagy hamis webhelyeken is. Az adathalász e-mailek célja, hogy megtévesszék a címzetteket, hogy rosszindulatú hivatkozásokra kattintsanak vagy fertőzött fájlokat töltsenek le. Hasonlóképpen, a hamis webhelyek szoftverfrissítések letöltésére vagy személyes adatok megadására kérhetik Önt, de ehelyett zsarolóprogramokat juttatnak el a rendszerébe.
• Exploit Kits: A Ransomware kihasználhatja az elavult szoftverek, operációs rendszerek vagy webböngészők sebezhetőségét. A kizsákmányoló készletek olyan rosszindulatú eszközök, amelyek átvizsgálják a számítógépeket biztonsági hiányosságok után kutatva, és zsarolóprogramokat szállítanak a sérülékenységek kihasználása érdekében. Kulcsfontosságú, hogy rendszeresen frissítse a szoftvert, és megbízható biztonsági javításokat használjon a kizsákmányolás kockázatának minimalizálása érdekében.
• Rosszindulatú reklámozás: A rosszindulatú reklámozás magában foglalja a rosszindulatú kód bejuttatását legitim online hirdetésekbe vagy webhelyekre. Ha egyszerűen felkeres egy feltört webhelyet, vagy rákattint egy fertőzött hirdetésre, a zsarolóprogramok véletlenül az Ön tudta nélkül letölthetők a számítógépére.
• Remote Desktop Protocol (RDP) támadások: A zsarolóvírus-támadók néha olyan számítógépeket céloznak meg, amelyeknek távoli asztali protokollja van. Ha sikeresen kihasználják a gyenge vagy könnyen kitalálható bejelentkezési adatokat, jogosulatlan hozzáférést kapnak a rendszerhez, és zsarolóvírust telepítenek.
• Drive-by letöltések: Drive-by letöltések akkor fordulnak elő, ha olyan feltört webhelyeket keresnek fel, amelyek rejtett rosszindulatú kódot tartalmaznak. E webhelyek egyszerű felkeresése elindíthatja a zsarolóprogramok automatikus letöltését és telepítését a számítógépére.