XCor Ransomware blocca i sistemi delle vittime

xCor è una forma di ransomware creata con l'intenzione di crittografare i file, alterandone i nomi aggiungendo l'ID della vittima, l'indirizzo e-mail xcorp@decoymail.mx e aggiungendo l'estensione ".xCor". Questo software dannoso presenta due note di riscatto, una sotto forma di finestra pop-up e l'altra come file "info.txt". Il nostro team si è imbattuto in xCor durante la nostra indagine sui campioni di malware.

Inoltre, i nostri risultati hanno rivelato che xCor è associato alla famiglia di ransomware Dharma. Per illustrare come questo ransomware manipola i nomi dei file, prende un file come "1.jpg" e lo trasforma in "1.jpg.id-1E857D00.[xcorp@decoymail.mx].xCor", alterando allo stesso modo altri file come "2 .png" a "2.png.id-1E857D00.[xcorp@decoymail.mx].xCor" e così via.

La nota di riscatto notifica alle vittime che tutti i loro file sono stati crittografati. Tuttavia, offre anche rassicurazione sul fatto che i file possono essere ripristinati. Alle vittime vengono fornite istruzioni per contattare gli aggressori via e-mail, tramite xcorp@decoymail.mx o whisper@mailfence.com.

Inoltre, la nota afferma che gli aggressori forniscono una garanzia di decrittazione gratuita per un massimo di tre file, a dimostrazione della loro abilità. Alcune limitazioni sono poste sui file idonei per la decrittografia, comprese le restrizioni sulle dimensioni (meno di 3 Mb) e le restrizioni sui contenuti (come l'esclusione di informazioni preziose come database o backup).

Infine, alle vittime vengono emessi due avvertimenti. Innanzitutto, sono fortemente sconsigliati di rinominare i file crittografati. In secondo luogo, sono scoraggiati dal tentare di decrittografare i dati utilizzando software di terze parti, poiché ciò potrebbe portare alla perdita permanente dei dati.

Nota di riscatto xCor presentata in due formati

La versione più lunga della nota di riscatto xCor recita come segue:

Tutti i tuoi file sono stati crittografati!
Non preoccuparti, puoi restituire tutti i tuoi file!
Se vuoi ripristinarli, scrivi alla mail: xcorp@decoymail.mx IL TUO ID 1E857D00
Se non hai risposto per posta entro 12 ore, scrivici tramite un'altra mail:whisper@mailfence.com
Decrittazione gratuita come garanzia
Prima di pagare puoi inviarci fino a 3 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 3 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli Excel di grandi dimensioni, ecc.)
Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore in base al metodo di pagamento e al prezzo.
hxxps://localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o puoi diventare vittima di una truffa.

In che modo un ransomware come xCor può infettare il tuo computer?

xCor e ransomware simili possono infettare il tuo computer con vari mezzi. Ecco alcuni metodi comuni utilizzati dal ransomware per infiltrarsi nei sistemi:

• Allegati e-mail: un modo comune in cui il ransomware si diffonde è tramite allegati e-mail dannosi. I criminali informatici spesso inviano e-mail che sembrano legittime e convincenti, contenenti allegati infetti come PDF, documenti Word o file eseguibili. Se scarichi e apri inconsapevolmente tali allegati, il ransomware può essere attivato e iniziare a crittografare i tuoi file.
• E-mail e siti Web di phishing: il ransomware può essere distribuito anche tramite e-mail di phishing o siti Web fasulli. Le e-mail di phishing sono progettate per indurre i destinatari a fare clic su collegamenti dannosi o a scaricare file infetti. Allo stesso modo, i siti Web falsi potrebbero richiedere di scaricare aggiornamenti software o inserire informazioni personali, ma invece inviano ransomware al tuo sistema.
• Kit di exploit: il ransomware può sfruttare le vulnerabilità di software, sistemi operativi o browser Web obsoleti. Gli exploit kit sono strumenti dannosi che scansionano i computer alla ricerca di punti deboli della sicurezza e forniscono payload ransomware per sfruttare tali vulnerabilità. È fondamentale aggiornare regolarmente il software e utilizzare patch di sicurezza affidabili per ridurre al minimo il rischio di sfruttamento.
• Malvertising: la pubblicità dannosa, o malvertising, comporta l'inserimento di codice dannoso in pubblicità online o siti Web legittimi. Semplicemente visitando un sito Web compromesso o facendo clic su un annuncio infetto, il ransomware può essere scaricato inavvertitamente sul tuo computer a tua insaputa.
• Attacchi RDP (Remote Desktop Protocol): gli aggressori ransomware a volte prendono di mira i computer con Remote Desktop Protocol esposto. Se sfruttano con successo credenziali di accesso deboli o facilmente indovinabili, ottengono l'accesso non autorizzato al sistema e distribuiscono ransomware.
• Download drive-by: i download drive-by si verificano quando si visitano siti Web compromessi che contengono codice dannoso nascosto. La semplice visita di questi siti Web può attivare il download e l'installazione automatici di ransomware sul tuo computer.