XCor ランサムウェアが被害者のシステムをロック
xCor は、ファイルを暗号化し、被害者の ID、xcorp@decoymail.mx の電子メール アドレスを追加し、拡張子「.xCor」を追加することでファイル名を変更することを目的として作成されたランサムウェアの一種です。この悪意のあるソフトウェアは、2 つの身代金メモを提示します。1 つはポップアップ ウィンドウの形式で、もう 1 つは「info.txt」ファイルとして表示されます。私たちのチームは、マルウェア サンプルの調査中に xCor を発見しました。
さらに、私たちの調査結果では、xCor が Dharma ランサムウェア ファミリに関連していることが明らかになりました。このランサムウェアがどのようにファイル名を操作するかを説明すると、「1.jpg」のようなファイルを取得して「1.jpg.id-1E857D00.[xcorp@decoymail.mx].xCor」に変換し、同様に「2」などの他のファイルを変更します。 .png」から「2.png.id-1E857D00.[xcorp@decoymail.mx].xCor」など。
身代金メモは、すべてのファイルが暗号化されたことを被害者に通知します。ただし、ファイルを復元できるという安心感も得られます。被害者には、xcorp@decoymail.mx または Whisper@mailfence.com を通じて電子メールで攻撃者に連絡するよう指示されます。
さらに、このメモには、攻撃者がその能力を実証するために、最大 3 つのファイルの無料復号化の保証を提供していると記載されています。復号化の対象となるファイルには、サイズ制限 (3MB 未満) やコンテンツ制限 (データベースやバックアップなどの貴重な情報の除外など) など、特定の制限が課されます。
最後に、被害者には 2 つの警告が与えられます。まず、暗号化されたファイルの名前を変更しないことを強くお勧めします。第 2 に、サードパーティ ソフトウェアを使用してデータを復号化しようとしないことをお勧めします。復号化すると、データが永久に失われる可能性があります。
xCor 身代金メモは 2 つの形式で提示される
xCor 身代金メモの長いバージョンは次のとおりです。
すべてのファイルが暗号化されました。
心配しないでください。すべてのファイルを返却できます。
それらを復元したい場合は、xcorp@decoymail.mx のメールにあなたの ID 1E857D00 を書いてください。
12 時間以内にメールで返信がない場合は、別のメールでご連絡ください: whisper@mailfence.com
無料の復号化を保証
支払いの前に、無料の復号化のために最大 3 つのファイルを送信してください。ファイルの合計サイズは 3Mb 未満 (非アーカイブ) である必要があり、ファイルには貴重な情報が含まれていてはなりません。 (データベース、バックアップ、大きな Excel シートなど)
ビットコインの入手方法
ビットコインを購入する最も簡単な方法は、LocalBitcoins サイトです。登録して「ビットコインを購入」をクリックし、支払い方法と価格で販売者を選択する必要があります。
hxxps://localbitcoins.com/buy_bitcoins
また、ビットコインを購入できる他の場所や初心者ガイドもここで見つけることができます。
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意!
暗号化されたファイルの名前を変更しないでください。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
サードパーティの助けを借りてファイルを復号化すると、料金が上昇したり(サードパーティの料金が当社の料金に追加されたり)、詐欺の被害者になる可能性があります。
xCor のようなランサムウェアはどのようにしてコンピュータに感染するのでしょうか?
xCor および同様のランサムウェアは、さまざまな手段を通じてコンピュータに感染する可能性があります。ランサムウェアがシステムに侵入するために使用する一般的な方法をいくつか示します。
- 電子メールの添付ファイル: ランサムウェアが拡散する一般的な方法の 1 つは、悪意のある電子メールの添付ファイルを通じてです。サイバー犯罪者は、PDF、Word 文書、実行可能ファイルなどの感染した添付ファイルを含む、正当で説得力があるように見える電子メールを送信することがよくあります。知らずにそのような添付ファイルをダウンロードして開くと、ランサムウェアがアクティブになり、ファイルの暗号化が開始される可能性があります。
- フィッシングメールと Web サイト: ランサムウェアは、フィッシングメールや偽の Web サイトを通じて配布されることもあります。フィッシングメールは、受信者を騙して悪意のあるリンクをクリックさせたり、感染したファイルをダウンロードさせたりするように設計されています。同様に、偽の Web サイトでは、ソフトウェア アップデートのダウンロードや個人情報の入力を求めるメッセージが表示されますが、代わりにランサムウェアがシステムに配信されます。
- エクスプロイト キット: ランサムウェアは、古いソフトウェア、オペレーティング システム、または Web ブラウザーの脆弱性を悪用する可能性があります。エクスプロイト キットは、コンピューターをスキャンしてセキュリティの弱点を見つけ、それらの脆弱性を悪用するランサムウェア ペイロードを配信する悪意のあるツールです。悪用のリスクを最小限に抑えるために、ソフトウェアを定期的に更新し、信頼できるセキュリティ パッチを使用することが重要です。
- マルバタイジング: 悪意のある広告、またはマルバタイジングには、正規のオンライン広告または Web サイトに悪意のあるコードが挿入されます。侵害された Web サイトにアクセスするか、感染した広告をクリックするだけで、知らないうちにランサムウェアが誤ってコンピュータにダウンロードされる可能性があります。
- リモート デスクトップ プロトコル (RDP) 攻撃: ランサムウェア攻撃者は、リモート デスクトップ プロトコルが公開されたコンピュータを標的にすることがあります。脆弱なログイン資格情報や簡単に推測できるログイン資格情報の悪用に成功すると、システムへの不正アクセスが得られ、ランサムウェアが展開されます。
- ドライブバイ ダウンロード: ドライブバイ ダウンロードは、悪意のあるコードが隠されている侵害された Web サイトにアクセスすると発生します。これらの Web サイトにアクセスするだけで、ランサムウェアが自動的にダウンロードされ、コンピュータにインストールされる可能性があります。