XCor Ransomware

Izsiljevalska programska oprema xCor je posebej ustvarjena za šifriranje datotek svojih žrtev, spreminjanje njihovih imen datotek in predložitev obvestila o odkupnini z zahtevami. Spremenjena imena datotek bodo imela edinstven ID žrtve, e-poštni naslov 'xcorp@decoymail.mx' in pripono '.xCor'. Za zagotovitev, da je žrtev seznanjena z odkupnino, xCor uporablja dve različni metodi: prikaz pojavnega okna z obvestilom o odkupnini in generiranje datoteke 'info.txt'. Raziskovalci kibernetske varnosti so potrdili, da grožnja xCor pripada družini Dharma Ransomware .

Izsiljevalska programska oprema xCor lahko vpliva na veliko število vrst datotek

Obvestilo o odkupnini, predstavljeno žrtvam izsiljevalske programske opreme xCor, se začne z obvestilom, da so bile vse njihove datoteke šifrirane. Akterji grožnje trdijo, da je obnovitev datoteke mogoča. Napadalci posredujejo žrtvam navodila za vzpostavitev stika prek e-pošte, bodisi prek »xcorp@decoymail.mx« ali »whisper@mailfence.com«.

Poleg tega obvestilo o odkupnini zlonamerne programske opreme ponuja jamstvo napadalcev v obliki brezplačnega dešifriranja do treh datotek. Vendar pa veljajo nekatere omejitve za datoteke, primerne za dešifriranje. Te omejitve vključujejo največjo velikost datoteke 3 megabajtov in nobenih dragocenih informacij, kot so zbirke podatkov ali varnostne kopije.

Obvestilo o odkupnini se zaključi z dvema opozoriloma za žrtve. Prvič, odsvetujemo jim preimenovanje šifriranih datotek, da bi se verjetno izognili zapletom med postopkom dešifriranja. Drugič, žrtve se odvračajo od poskusov dešifriranja šifriranih podatkov s programsko opremo tretjih oseb. Takšni poskusi lahko povzročijo trajno izgubo podatkov.

Vendar pa plačilo odkupnine močno odsvetujemo, saj ne samo ohranja dejavnosti kibernetskih kriminalcev, ampak tudi ne zagotavlja nikakršnega jamstva za obnovitev datotek. Grožnje z izsiljevalsko programsko opremo pogosto lahko povzročijo nadaljnje šifriranje in okužbe. Da bi preprečili takšne situacije, se žrtvam svetuje, da nemudoma odstranijo izsiljevalsko programsko opremo iz svojih okuženih sistemov.

Zaščitite svoje naprave in podatke pred napadi izsiljevalske programske opreme

Uporabniki lahko zaščitijo svoje podatke in naprave pred napadi izsiljevalske programske opreme z implementacijo celovitega pristopa, ki združuje različne varnostne ukrepe in prakse.

Najprej in najpomembnejše je vzdrževanje posodobljene in robustne programske opreme za zaščito pred zlonamerno programsko opremo. Redno posodabljanje teh varnostnih orodij zagotavlja, da lahko učinkovito zaznajo in preprečijo najnovejše grožnje izsiljevalske programske opreme.

Drug pomemben korak je redno posodabljanje operacijskih sistemov, programskih aplikacij in vdelane programske opreme. Te posodobitve pogosto vsebujejo varnostne popravke, ki obravnavajo ranljivosti, ki jih lahko kibernetski kriminalci izkoristijo za dostavo izsiljevalske programske opreme. Če posodabljajo vso programsko opremo, se lahko uporabniki izognejo, da bi postali žrtve znanih varnostnih napak.

Redno varnostno kopiranje ustreznih datotek v shrambo brez povezave ali v oblak je učinkovita obramba pred izsiljevalsko programsko opremo. V primeru napada nedavne varnostne kopije zagotavljajo, da lahko uporabniki obnovijo svoje podatke, ne da bi morali plačati odkupnino. Zagotovite, da se varnostne kopije izvajajo redno in da varnostne kopije med postopkom varnostnega kopiranja niso povezane z omrežjem, da preprečite njihovo ogrožanje.

Izobraževanje o najnovejših grožnjah in tehnikah izsiljevalske programske opreme, ki jih uporabljajo kibernetski kriminalci, je ključnega pomena. Uporabniki bi morali biti obveščeni o pogostih vektorjih napadov, taktikah socialnega inženiringa in nastajajočih trendih v napadih z izsiljevalsko programsko opremo. To znanje omogoča uporabnikom, da prepoznajo potencialne grožnje in se jim izognejo.

Z izvajanjem teh ukrepov in sprejetjem proaktivne miselnosti glede kibernetske varnosti lahko uporabniki občutno zmanjšajo tveganje, da bi postali žrtve napadov izsiljevalske programske opreme, ter zaščitijo svoje podatke in naprave.

Celoten niz zahtev, prikazanih žrtvam izsiljevalske programske opreme xCor, je:

»Vse vaše datoteke so bile šifrirane!
Ne skrbite, vrnete lahko vse svoje datoteke!
Če jih želite obnoviti, pišite na mail: xcorp@decoymail.mx VAŠ ID 1E857D00
Če v 12 urah ne odgovorite po pošti, nam pišite na drugo pošto:whisper@mailfence.com
Brezplačno dešifriranje kot jamstvo
Pred plačilom nam lahko pošljete do 3 datoteke za brezplačno dešifriranje. Skupna velikost datotek mora biti manjša od 3Mb (nearhivirane), datoteke pa ne smejo vsebovati dragocenih informacij. (podatkovne baze, varnostne kopije, veliki excelovi listi itd.)
Kako pridobiti Bitcoine
Najlažji način za nakup bitcoinov je spletno mesto LocalBitcoins. Registrirati se morate, klikniti 'Kupi bitcoine' in izbrati prodajalca po načinu plačila in ceni.
hxxps://localbitcoins.com/buy_bitcoins
Tu lahko najdete tudi druga mesta za nakup bitcoinov in vodnik za začetnike:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Pozor!
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, lahko povzroči trajno izgubo podatkov.
Dešifriranje vaših datotek s pomočjo tretjih oseb lahko povzroči zvišanje cene (prištejejo svojo pristojbino naši) ali pa postanete žrtev prevare.'

Sporočilo, najdeno v besedilni datoteki, ki jo je ustvarila grožnja, je:

'vsi vaši podatki so bili zaklenjeni
Se želite vrniti?
napišite e-pošto xcorp@decoymail.mx ali whisper@mailfence.com'