XCor 勒索软件锁定受害者系统

xCor 是一种勒索软件，旨在加密文件，通过添加受害者 ID、xcorp@decoymail.mx 电子邮件地址并附加“.xCor”扩展名来更改文件名称。该恶意软件会提供两份赎金票据，一份以弹出窗口的形式出现，另一份以“info.txt”文件的形式出现。我们的团队在调查恶意软件样本时发现了 xCor。

此外，我们的调查结果显示 xCor 与 Dharma 勒索软件家族有关。为了说明这个勒索软件是如何操纵文件名的，它把一个像“1.jpg”这样的文件转换成“1.jpg.id-1E857D00.[xcorp@decoymail.mx].xCor”，类似地改变其他文件，比如“2 .png”到“2.png.id-1E857D00.[xcorp@decoymail.mx].xCor”，等等。

赎金票据通知受害者他们的所有文件都已加密。但是，它也提供了可以恢复文件的保证。受害者被指示通过电子邮件联系攻击者，可以通过 xcorp@decoymail.mx 或 whisper@mailfence.com。

此外，该说明指出，攻击者提供最多三个文件的免费解密保证，以证明他们的能力。对符合解密条件的文件施加了某些限制，包括大小限制（小于 3Mb）和内容限制（例如排除数据库或备份等有价值的信息）。

最后，向受害者发出两次警告。首先，强烈建议他们不要重命名加密文件。其次，不鼓励他们尝试使用第三方软件解密数据，因为这样做可能会导致永久性数据丢失。

xCor 赎金票据以两种格式呈现

较长版本的 xCor 赎金记录如下：

您的所有文件都已加密！
别担心，您可以归还所有文件！
如果你想恢复它们，写邮件到：xcorp@decoymail.mx YOUR ID 1E857D00
如果您在 12 小时内没有通过邮件回复，请通过另一个邮箱写信给我们：whisper@mailfence.com
免费解密为保证
在付款之前，您最多可以向我们发送 3 个文件以供免费解密。文件总大小必须小于 3Mb（非归档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）
如何获得比特币
购买比特币最简单的方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后通过付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在此处找到其他购买比特币和初学者指南的地方：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力！
不要重命名加密文件。
不要尝试使用第三方软件解密您的数据，这可能会导致永久性数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们向我们收取费用）或者您可能成为骗局的受害者。

xCor 等勒索软件如何感染您的计算机？

xCor 和类似的勒索软件可以通过各种方式感染您的计算机。以下是勒索软件渗透系统的一些常用方法：

• 电子邮件附件：勒索软件传播的一种常见方式是通过恶意电子邮件附件。网络罪犯经常发送看似合法且令人信服的电子邮件，其中包含受感染的附件，例如 PDF、Word 文档或可执行文件。如果您在不知不觉中下载并打开此类附件，勒索软件就会被激活并开始加密您的文件。
• 网络钓鱼电子邮件和网站：勒索软件也可以通过网络钓鱼电子邮件或虚假网站进行分发。网络钓鱼电子邮件旨在欺骗收件人点击恶意链接或下载受感染的文件。同样，虚假网站可能会提示您下载软件更新或输入个人信息，但它们会向您的系统发送勒索软件。
• 漏洞利用工具包：勒索软件可以利用过时软件、操作系统或网络浏览器中的漏洞。漏洞利用工具包是一种恶意工具，可扫描计算机的安全漏洞并提供勒索软件有效负载以利用这些漏洞。定期更新您的软件并使用可靠的安全补丁来最大程度地降低被利用的风险至关重要。
• 恶意广告：恶意广告或恶意广告涉及将恶意代码注入合法的在线广告或网站。只需访问受感染的网站或点击受感染的广告，勒索软件就会在您不知情的情况下无意中下载到您的计算机上。
• 远程桌面协议 (RDP) 攻击：勒索软件攻击者有时会以暴露远程桌面协议的计算机为目标。如果他们成功利用弱的或容易猜到的登录凭据，他们将获得对系统的未授权访问并部署勒索软件。
• 偷渡式下载：偷渡式下载发生在访问隐藏了恶意代码的受感染网站时。只需访问这些网站即可触发勒索软件自动下载并安装到您的计算机上。