XCor Ransomware blokuje systemy ofiar

xCor to forma ransomware stworzona z zamiarem zaszyfrowania plików, zmiany ich nazw poprzez dodanie identyfikatora ofiary, adresu e-mail xcorp@decoymail.mx i dołączenie rozszerzenia ".xCor". To złośliwe oprogramowanie przedstawia dwa żądania okupu, jeden w formie okna pop-up, a drugi jako plik „info.txt”. Nasz zespół natknął się na xCor podczas badania próbek złośliwego oprogramowania.

Co więcej, nasze odkrycia ujawniły, że xCor jest powiązany z rodziną ransomware Dharma. Aby zilustrować, w jaki sposób to ransomware manipuluje nazwami plików, pobiera plik taki jak „1.jpg” i przekształca go w „1.jpg.id-1E857D00.[xcorp@decoymail.mx].xCor”, podobnie zmieniając inne pliki, takie jak „2 .png” na „2.png.id-1E857D00.[xcorp@decoymail.mx].xCor” i tak dalej.

Żądanie okupu informuje ofiary, że wszystkie ich pliki zostały zaszyfrowane. Daje jednak również pewność, że pliki można przywrócić. Ofiary otrzymują instrukcje, aby skontaktować się z atakującymi za pośrednictwem poczty e-mail, pod adresem xcorp@decoymail.mx lub whistle@mailfence.com.

Ponadto notatka stwierdza, że osoby atakujące zapewniają gwarancję bezpłatnego odszyfrowania do trzech plików, co służy jako demonstracja ich umiejętności. Na pliki kwalifikujące się do odszyfrowania nakładane są pewne ograniczenia, w tym ograniczenia rozmiaru (mniej niż 3 MB) i ograniczenia zawartości (takie jak wykluczenie cennych informacji, takich jak bazy danych lub kopie zapasowe).

Na koniec ofiarom wydawane są dwa ostrzeżenia. Po pierwsze, zdecydowanie odradza się zmianę nazwy zaszyfrowanych plików. Po drugie, zniechęca się ich do prób odszyfrowania danych przy użyciu oprogramowania innych firm, ponieważ może to doprowadzić do trwałej utraty danych.

List z żądaniem okupu xCor prezentowany w dwóch formatach

Dłuższa wersja żądania okupu xCor brzmi następująco:

Wszystkie twoje pliki zostały zaszyfrowane!
Nie martw się, możesz zwrócić wszystkie swoje pliki!
Jeśli chcesz je przywrócić, napisz na maila: xcorp@decoymail.mx TWÓJ ID 1E857D00
Jeśli nie odpowiedziałeś pocztą w ciągu 12 godzin, napisz do nas inną pocztą: whisper@mailfence.com
Bezpłatne odszyfrowywanie jako gwarancja
Przed dokonaniem płatności możesz przesłać nam do 3 plików do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 3 MB (niearchiwizowane), a pliki nie powinny zawierać wartościowych informacji. (bazy danych, kopie zapasowe, duże arkusze Excela itp.)
Jak zdobyć Bitcoiny
Najprostszym sposobem na zakup bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz także znaleźć inne miejsca do kupowania Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie twoich plików z pomocą osób trzecich może spowodować wzrost ceny (doliczą swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

W jaki sposób ransomware, takie jak xCor, może zainfekować Twój komputer?

xCor i podobne ransomware mogą zainfekować komputer na różne sposoby. Oto kilka typowych metod wykorzystywanych przez ransomware do infiltracji systemów:

• Załączniki do wiadomości e-mail: Jednym z powszechnych sposobów rozprzestrzeniania się oprogramowania ransomware są złośliwe załączniki do wiadomości e-mail. Cyberprzestępcy często wysyłają e-maile, które wydają się uzasadnione i przekonujące, zawierające zainfekowane załączniki, takie jak pliki PDF, dokumenty programu Word lub pliki wykonywalne. Jeśli nieświadomie pobierzesz i otworzysz takie załączniki, oprogramowanie ransomware może zostać aktywowane i rozpocząć szyfrowanie plików.
• Wiadomości e-mail i strony internetowe typu phishing: oprogramowanie ransomware może być również dystrybuowane za pośrednictwem wiadomości e-mail typu phishing lub fałszywych witryn internetowych. Wiadomości e-mail typu phishing mają na celu nakłonienie odbiorców do kliknięcia złośliwych łączy lub pobrania zainfekowanych plików. Podobnie, fałszywe strony internetowe mogą monitować o pobranie aktualizacji oprogramowania lub wprowadzenie danych osobowych, ale zamiast tego dostarczają ransomware do twojego systemu.
• Zestawy exploitów: oprogramowanie ransomware może wykorzystywać luki w przestarzałym oprogramowaniu, systemach operacyjnych lub przeglądarkach internetowych. Zestawy exploitów to złośliwe narzędzia, które skanują komputery w poszukiwaniu słabych punktów bezpieczeństwa i dostarczają oprogramowanie ransomware w celu wykorzystania tych luk. Istotne jest regularne aktualizowanie oprogramowania i stosowanie niezawodnych poprawek bezpieczeństwa, aby zminimalizować ryzyko nadużyć.
• Malvertising: złośliwe reklamy lub złośliwe reklamy polegają na wstrzykiwaniu złośliwego kodu do legalnych reklam internetowych lub stron internetowych. Po prostu odwiedzając zaatakowaną witrynę lub klikając zainfekowaną reklamę, oprogramowanie ransomware może zostać przypadkowo pobrane na komputer bez Twojej wiedzy.
• Ataki Remote Desktop Protocol (RDP): Osoby atakujące ransomware czasami atakują komputery z ujawnionym protokołem Remote Desktop. Jeśli uda im się wykorzystać słabe lub łatwe do odgadnięcia dane logowania, uzyskują nieautoryzowany dostęp do systemu i wdrażają ransomware.
• Pobieranie automatyczne: pobieranie automatyczne ma miejsce podczas odwiedzania zainfekowanych witryn internetowych, które zawierają ukryty złośliwy kod. Po prostu odwiedzenie tych witryn może spowodować automatyczne pobranie i instalację oprogramowania ransomware na komputerze.