XCor 勒索軟件鎖定受害者係統

xCor 是一種勒索軟件，旨在加密文件，通過添加受害者 ID、xcorp@decoymail.mx 電子郵件地址並附加“.xCor”擴展名來更改文件名稱。該惡意軟件會提供兩份贖金票據，一份以彈出窗口的形式出現，另一份以“info.txt”文件的形式出現。我們的團隊在調查惡意軟件樣本時發現了 xCor。

此外，我們的調查結果顯示 xCor 與 Dharma 勒索軟件家族有關。為了說明這個勒索軟件是如何操縱文件名的，它把一個像“1.jpg”這樣的文件轉換成“1.jpg.id-1E857D00.[xcorp@decoymail.mx].xCor”，類似地改變其他文件，比如“2 .png”到“2.png.id-1E857D00.[xcorp@decoymail.mx].xCor”，等等。

贖金票據通知受害者他們的所有文件都已加密。但是，它也提供了可以恢復文件的保證。受害者被指示通過電子郵件聯繫攻擊者，可以通過 xcorp@decoymail.mx 或 whisper@mailfence.com。

此外，該說明指出，攻擊者提供最多三個文件的免費解密保證，以證明他們的能力。對符合解密條件的文件施加了某些限制，包括大小限制（小於 3Mb）和內容限制（例如排除數據庫或備份等有價值的信息）。

最後，向受害者發出兩次警告。首先，強烈建議他們不要重命名加密文件。其次，不鼓勵他們嘗試使用第三方軟件解密數據，因為這樣做可能會導致永久性數據丟失。

xCor 贖金票據以兩種格式呈現

較長版本的 xCor 贖金記錄如下：

您的所有文件都已加密！
別擔心，您可以歸還所有文件！
如果你想恢復它們，寫郵件到：xcorp@decoymail.mx YOUR ID 1E857D00
如果您在 12 小時內沒有通過郵件回复，請通過另一個郵箱寫信給我們：whisper@mailfence.com
免費解密為保證
在付款之前，您最多可以向我們發送 3 個文件以供免費解密。文件總大小必須小於 3Mb（非歸檔），並且文件不應包含有價值的信息。 （數據庫、備份、大型 Excel 工作表等）
如何獲得比特幣
購買比特幣最簡單的方法是 LocalBitcoins 網站。您必須註冊，點擊“購買比特幣”，然後通過付款方式和價格選擇賣家。
hxxps://localbitcoins.com/buy_bitcoins
您還可以在此處找到其他購買比特幣和初學者指南的地方：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力！
不要重命名加密文件。
不要嘗試使用第三方軟件解密您的數據，這可能會導致永久性數據丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲（他們向我們收取費用）或者您可能成為騙局的受害者。

xCor 等勒索軟件如何感染您的計算機？

xCor 和類似的勒索軟件可以通過各種方式感染您的計算機。以下是勒索軟件滲透系統的一些常用方法：

• 電子郵件附件：勒索軟件傳播的一種常見方式是通過惡意電子郵件附件。網絡罪犯經常發送看似合法且令人信服的電子郵件，其中包含受感染的附件，例如 PDF、Word 文檔或可執行文件。如果您在不知不覺中下載並打開此類附件，勒索軟件就會被激活並開始加密您的文件。
• 網絡釣魚電子郵件和網站：勒索軟件也可以通過網絡釣魚電子郵件或虛假網站進行分發。網絡釣魚電子郵件旨在欺騙收件人點擊惡意鏈接或下載受感染的文件。同樣，虛假網站可能會提示您下載軟件更新或輸入個人信息，但它們會向您的系統發送勒索軟件。
• 漏洞利用工具包：勒索軟件可以利用過時軟件、操作系統或網絡瀏覽器中的漏洞。漏洞利用工具包是一種惡意工具，可掃描計算機的安全漏洞並提供勒索軟件有效負載以利用這些漏洞。定期更新您的軟件並使用可靠的安全補丁來最大程度地降低被利用的風險至關重要。
• 惡意廣告：惡意廣告或惡意廣告涉及將惡意代碼注入合法的在線廣告或網站。只需訪問受感染的網站或點擊受感染的廣告，勒索軟件就會在您不知情的情況下無意中下載到您的計算機上。
• 遠程桌面協議 (RDP) 攻擊：勒索軟件攻擊者有時會以暴露遠程桌面協議的計算機為目標。如果他們成功利用弱的或容易猜到的登錄憑據，他們將獲得對系統的未授權訪問並部署勒索軟件。
• 偷渡式下載：偷渡式下載發生在訪問隱藏了惡意代碼的受感染網站時。只需訪問這些網站即可觸發勒索軟件自動下載並安裝到您的計算機上。