Threat Database Ransomware Xorist 랜섬웨어

Xorist 랜섬웨어

위협 스코어카드

위협 수준: 100 % (높은)
감염된 컴퓨터: 45
처음 본 것: April 13, 2016
마지막으로 본: September 15, 2020
영향을 받는 OS: Windows

Xorist 랜섬웨어는 RaaS (Ransomware as a Service)로 제공되는 가족 랜섬웨어 트로이 목마입니다. Xorist Ransomware 감염의 현저한 증가와이 위협과 관련된 문제에 대한 도움 요청이 보안 분석가에 의해 발견되었습니다. Xorist 랜섬웨어 변종은 사기꾼이이 랜섬웨어 위협의 맞춤형 버전을 신속하게 생성 할 수 있도록하는 랜섬웨어 빌더를 사용하여 생성됩니다. Xorist 랜섬웨어 변종을 쉽게 사용자 정의 할 수 있기 때문에 PC 보안 연구원이 솔루션을 제공하기가 어렵습니다. 다른 암호화 된 파일 확장자, 암호화, 랜섬 메시지 및 기타 다양한 전략을 사용하는 수많은 변종이 있기 때문입니다. 다행히 PC 보안 분석가들은 Xorist 랜섬웨어 변종을 생성하고이 랜섬웨어 트로이 목마 제품군의 모든 위협에 대한 해독기를 만드는 데 사용되는 랜섬웨어 빌더를 찾을 수있었습니다. 파일이 Xorist Ransomware의 변종에 의해 암호화 된 경우 해독 유틸리티를 사용하면 몸값을 지불하지 않고도 파일을 복구 할 수 있습니다.

Xorist 랜섬웨어와이 위협의 다양한 변종

빌더에 대한 액세스 권한이 있으면 Xorist Ransomware의 변형을 쉽게 만들 수 있습니다. 현재 Xorist Ransomware의 빌더는 'Encoder Builder v. 24'라고 불리며 Dark Web의 지하 포럼에서 구입할 수 있습니다. 사기꾼이 빌더를 확보하면 다양한 확인란을 입력하고 원하는 옵션을 선택하여 Xorist Ransomware의 사용자 지정 버전을 쉽게 만들 수 있습니다. 선택한 방법을 사용하여 스팸 이메일 메시지 또는 유해한 봇넷을 포함한 위협을 배포 할 수 있습니다. Xorist Ransomware 빌더에는 ID 번호가 포함 된 SMS 문자 메시지를 특정 번호로 보내는 옵션이 포함 된 기본 랜섬 노트 메시지가 있습니다. 이러한 방식으로 사기꾼은 피해자를 자신의 ID 번호와 일치시키고 몸값을 지불 한 후 파일을 해독하기 위해 암호를 보낼 수 있습니다. 사용자 지정 설계된 Xorist Ransomware 실행 파일의 모든 변종은 Xorist Ransomware 변종을 만들 때 선택한 (그리고 임의로 선택할 수있는) 동일한 암호를 사용합니다.

Xorist 랜섬웨어 변종 기본 설정 살펴보기

Xorist Ransomware 변종의 기본 암호화 옵션은 TEA이며 기본 비밀번호는 4kuxF2j6JU4i18KGbEYLyK2d입니다. Xorist Ransomware의 기본 버전은 파일 확장자 EnCiPhErEd를 사용합니다. Xorist 랜섬웨어와 관련된 기본 랜섬 노트의 이름은 HOW TO DECRYPT FILES.txt이며 다음 텍스트를 포함합니다.

주의! 모든 파일이 암호화됩니다!
파일을 복원하고 액세스하려면
YYYY 번호로 문자 XXXX와 함께 SMS를 보내십시오.

코드 입력을 N 번 시도했습니다.
그 수를 초과하면
모든 데이터는 되돌릴 수 없게 파괴됩니다.
코드를 입력 할 때주의하세요!

기본적으로 Xorist Ransomware 변종은 다음 확장을 대상으로합니다 (목록에 더 추가 될 수 있음).

* .zip, * .rar, * .7z, * .tar, * .gzip, * .jpg, * .jpeg, * .psd, * .cdr, * .dwg, * .max, * .bmp, *. gif, * .png, * .doc, * .docx, * .xls, * .xlsx, * .ppt, * .pptx, * .txt, * .pdf, * .djvu, * .htm, * .html, * .mdb, * .cer, * .p12, * .pfx, * .kwm, * .pwm, * .1cd, * .md, * .mdf, * .dbf, * .odt, * .vob, *. ifo, * .lnk, * .torrent, * .mov, * .m2v, * .3gp, * .mpeg, * .mpg, * .flv, * .avi, * .mp4, * .wmv, * .divx, * .mkv, * .mp3, * .wav, * .flac, * .ape, * .wma, * .ac3.

사기꾼은 Xorist 랜섬웨어 빌더를 사용하여 랜섬 노트 텍스트, 암호화 된 파일 확장자, 대상 파일 유형, 허용 된 암호 시도 횟수, 랜섬 메시지 표시시기, TEA 또는 XOR 암호화, 복호화 암호, 해당 아이콘을 변경할 수 있습니다. 위협의 실행 파일, 영향을받는 컴퓨터 시스템의 데스크톱 이미지 변경 여부, 자동 시작, 텍스트 랜섬 노트 삭제 여부, Xorist 랜섬웨어를 UPX를 사용하여 압축해야하는지 여부 등. Xorist 랜섬웨어는 특별히 정교한 랜섬웨어 트로이 목마 감염이 아닙니다. . 그러나 Xorist 랜섬웨어가 매우 사용자 정의가 가능하고 생성하기 쉽다는 사실은 이미 증가한 랜섬웨어 감염 수에 대한 수많은 새로운 감염 및 사기꾼을 가져올 위험이 있습니다.

2019 년 1 월 5 일 업데이트 — BooM 랜섬웨어

BooM 랜섬웨어 또는 작성자가 'Boom 랜섬웨어'라고 부르는 것은 Xorist 랜섬웨어의 맞춤형 버전과 새로운 GUI (일반 사용자 인터페이스)를로드하는 암호화 트로이 목마입니다. BooM Ransomware는 Xorist Builder로 생성되지만 Xorist-XWZ RansomwareXorist-Frozen Ransomware 와 같이 이전에 기록한 대부분의 버전과 다릅니다. BooM 랜섬웨어는 스팸 이메일과 소셜 미디어 서비스를위한 가짜 해킹 도구를 통해 PC 사용자들 사이에 확산되는 것으로 알려져 있습니다. 랜섬웨어 운영자는 위협 페이로드를 전달하기 위해 'hack facebook 2019'와 같은 프로그램을 사용하는 것으로보고되었습니다.

BooM 랜섬웨어는 감염된 장치에 'Tempsvchost.exe'및 'BooM.exe'라는 프로세스를 생성하는 것으로 알려져 있습니다. BooM 랜섬웨어는 손상된 컴퓨터에서 사진, 오디오, 비디오, 텍스트, PDF 및 데이터베이스와 같은 데이터를 암호화하도록 설계되었습니다. BooM Ransomware는 파일을 암호화하고 Windows에서 만든 Shadow Volume Copy를 제거하여 데이터 복구를 방지합니다. 그러나 Windows 사용자가 사용할 수있는 다른 백업 서비스로 만든 데이터 백업을 사용할 수 있어야합니다. BooM 랜섬웨어는 '파일을 해독하는 방법 .txt'라는 텍스트 노트 인 'Boom Ransomeware'라는 프로그램 창을 만들고 피해자에게 데이터에 무슨 일이 일어 났는지 알려주는 바탕 화면 이미지 배경을 남깁니다. 영향을받는 파일은 '.Boom'확장자를 받고 'Anthem 2019.mp4'와 같은 이름은 'Anthem 2019.mp4.Boom'으로 이름이 변경됩니다.

BooM Ransomware가 제공하는 바탕 화면 배경은 상단에 빨간색 텍스트가있는 검은 색 화면입니다.

'ooooops 바이러스에 감염되었습니다 Boom Ransomeware
인코더를 해독하기 위해 모든 파일이 암호화되었습니다. PIN 입력
파일 암호 해독을위한 암호를 표시하려면
곧 뵙겠습니다'

프로그램 창에는 빨간색 자물쇠 아이콘, 사용자 계정 이름 및 Mohamed Naser Ahmed라는 사람의 Facebook 계정에 대한 링크와 같은 새 아이콘이 포함됩니다. 작성 당시 사용자는 이름을 'Ibrahim Rady'로 변경했으며 페이지는 활성 상태로 유지됩니다. 'Boom Ransomeware'창의 텍스트는 다음과 같습니다.

'어서 오십시오
Boom Ransomeware에서
모든 파일이 죄송합니다.
비밀번호로 암호화
PIN을 먼저 입력 한 비밀번호를 표시하려면
곧 뵙겠습니다
암호 ::: [텍스트 상자] [복사 | 버튼]
PIN 입력 [텍스트 상자] [비밀번호 표시 | 버튼]
[PIN 받기 | 버튼] '

이상하게도 BooM Ransomware 운영자는 Facebook을 통해 감염된 사용자와 협상하기로 결정했습니다. 위에서 언급 한 'HOW TO DECRYPT FILES.txt'는 바탕 화면에서 찾을 수 있으며 다음 메시지가 포함되어 있습니다.

'파일 암호 해독 방법
핀 받기
바이러스에서 그것을 추구
파일을 해독하기 위해 암호를 추출하려면
데스크탑의 폴더에서
그런 다음 작은 창에 암호를 입력하십시오.
핀용
Facebook에서 저에게 말하십시오
내 이름 = Mohamed Naser Ahmed
내 ID = 100027091457754 '

그러나 컴퓨터 연구원들은 BooM 랜섬웨어에서 하드 코딩 된 PIN과 암호를 발견했습니다. BooM 랜섬웨어의 초기 출시 과정에서 감염되었을 수있는 PC 사용자는 'Boom Ransomeware'프로그램 창에 PIN '34584384186746875497'과 암호 'B3ht4w316MsyQS47Sx18SA4q'를 입력하려고 시도 할 수 있습니다. 이전에 언급 한 PIN과 비밀번호가 모든 사람에게 적용되는지 확실하지 않지만 시도해 보시기 바랍니다. BooM 랜섬웨어를 통해 홍보 된 계정에 돈을 지불하지 말고 비트 코인으로 지불되는 잠재적 인 "복호화 서비스"와의 접촉을 피하십시오. 컴퓨터 기술자와 선호하는 사이버 보안 공급 업체의 도움을받는 것이 좋습니다. 랜섬웨어 샘플을 다루는 전문가에게 연락하면 BooM 랜섬웨어의 영향을받는 데이터를 디코딩 할 수 있습니다.

BooM 랜섬웨어의 탐지 이름은 다음과 같습니다.

아르테미스! E8E07496DF53
HEUR / QVM11.1.5569.Malware.Gen
악성 코드 @ # 38vlyeighbrin
랜섬 : Win32 / Sorikrypt.A
Ransom_Sorikrypt.R014C0DLN18
TR / Ransom.Xorist.EJ
TrojWare.Win32.Kryptik.ER@4o1ar2
트로이 목마 (001f8f911)
Trojan-Ransom.Win32.Xorist.ln
Trojan.GenericKD.40867299 (B)
Trojan.Ransom.AIG
Trojan.Win32.Xorist.4! c
악성 .92f093
악성 _ 신뢰 _100 % (W)

SpyHunter는 Xorist 랜섬웨어를 감지하고 제거합니다.

파일 시스템 세부 정보

Xorist 랜섬웨어는 다음 파일을 생성할 수 있습니다.
# 파일 이름 MD5 탐지
1. file.exe e9db7fe38dfea5668c74d6f192ae847b 1
2. file.exe 27def0c68ee542333a8a99995429273a 1
3. file.exe 1a2bcbcf04aeb44e406cc0b12e095fb4 0

트렌드

가장 많이 본

로드 중...