Программа-вымогатель xCor блокирует системы жертв

xCor — это форма программы-вымогателя, созданная с целью шифрования файлов, изменения их имен путем добавления идентификатора жертвы, адреса электронной почты xcorp@decoymail.mx и добавления расширения «.xCor». Это вредоносное ПО представляет две заметки о выкупе, одну в виде всплывающего окна, а другую в виде файла «info.txt». Наша команда столкнулась с xCor во время исследования образцов вредоносных программ.

Кроме того, наши результаты показали, что xCor связан с семейством программ-вымогателей Dharma. Чтобы проиллюстрировать, как этот вымогатель манипулирует именами файлов, он берет файл типа «1.jpg» и преобразует его в «1.jpg.id-1E857D00.[xcorp@decoymail.mx].xCor», аналогичным образом изменяя другие файлы, такие как «2 .png» на «2.png.id-1E857D00.[xcorp@decoymail.mx].xCor» и так далее.

Записка о выкупе уведомляет жертв о том, что все их файлы были зашифрованы. Однако это также дает уверенность в том, что файлы можно восстановить. Жертвам даются инструкции связаться с злоумышленниками по электронной почте, либо через xcorp@decoymail.mx, либо по адресу sixty@mailfence.com.

Кроме того, в примечании говорится, что злоумышленники гарантируют бесплатную расшифровку до трех файлов, что служит демонстрацией их способностей. На файлы, подходящие для расшифровки, накладываются определенные ограничения, в том числе ограничения по размеру (менее 3 МБ) и ограничения по содержимому (например, исключение ценной информации, такой как базы данных или резервные копии).

Наконец, потерпевшим выносятся два предупреждения. Во-первых, им настоятельно не рекомендуется переименовывать зашифрованные файлы. Во-вторых, им не рекомендуется пытаться расшифровать данные с помощью стороннего программного обеспечения, так как это может привести к безвозвратной потере данных.

Записка о выкупе xCor представлена в двух форматах

Более длинная версия записки о выкупе xCor выглядит следующим образом:

Все ваши файлы были зашифрованы!
Не волнуйтесь, вы можете вернуть все свои файлы!
Если вы хотите их восстановить, напишите на почту: xcorp@decoymail.mx ВАШ ID 1E857D00
Если вам не ответили по почте в течение 12 часов, напишите нам на другую почту:whisper@mailfence.com
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 3 Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткойны, и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Как программы-вымогатели, такие как xCor, могут заразить ваш компьютер?

xCor и аналогичные программы-вымогатели могут заразить ваш компьютер различными способами. Вот некоторые распространенные методы, используемые программами-вымогателями для проникновения в системы:

• Вложения электронной почты. Одним из распространенных способов распространения программ-вымогателей являются вредоносные вложения электронной почты. Киберпреступники часто отправляют электронные письма, которые кажутся законными и убедительными, и содержат зараженные вложения, такие как PDF-файлы, документы Word или исполняемые файлы. Если вы неосознанно загрузите и откроете такие вложения, программа-вымогатель может активироваться и начать шифровать ваши файлы.
• Фишинговые электронные письма и веб-сайты: программы-вымогатели также могут распространяться через фишинговые электронные письма или поддельные веб-сайты. Фишинговые электронные письма предназначены для того, чтобы заставить получателей переходить по вредоносным ссылкам или загружать зараженные файлы. Точно так же поддельные веб-сайты могут предлагать вам загрузить обновления программного обеспечения или ввести личную информацию, но вместо этого они доставляют в вашу систему программы-вымогатели.
• Наборы эксплойтов: программы-вымогатели могут использовать уязвимости в устаревшем программном обеспечении, операционных системах или веб-браузерах. Наборы эксплойтов — это вредоносные инструменты, которые сканируют компьютеры на наличие уязвимостей в системе безопасности и доставляют полезные нагрузки программ-вымогателей для использования этих уязвимостей. Крайне важно регулярно обновлять программное обеспечение и использовать надежные исправления безопасности, чтобы свести к минимуму риск эксплуатации.
• Вредоносная реклама. Вредоносная реклама, или вредоносная реклама, включает в себя внедрение вредоносного кода в законную онлайн-рекламу или веб-сайты. Просто посетив взломанный веб-сайт или нажав на зараженную рекламу, программа-вымогатель может быть непреднамеренно загружена на ваш компьютер без вашего ведома.
• Атаки на протокол удаленного рабочего стола (RDP): Злоумышленники-вымогатели иногда нацелены на компьютеры с открытым протоколом удаленного рабочего стола. Если они успешно используют слабые или легко угадываемые учетные данные для входа, они получают несанкционированный доступ к системе и запускают программы-вымогатели.
• Загрузки Drive-by. Загрузки Drive-by происходят при посещении скомпрометированных веб-сайтов со скрытым вредоносным кодом. Простое посещение этих веб-сайтов может вызвать автоматическую загрузку и установку программ-вымогателей на ваш компьютер.