Xorist Fidye Yazılımı

Xorist Fidye Yazılımı, RaaS (Hizmet Olarak Fidye Yazılımı) olarak sunulan bir aile fidye yazılımı Truva atlarıdır. Güvenlik analistleri, Xorist Ransomware enfeksiyonlarında ve bu tehdidi içeren sorunlarla ilgili yardım taleplerinde belirgin bir artış olduğunu fark etti. Xorist Fidye Yazılımı çeşitleri, dolandırıcıların bu fidye yazılımı tehdidinin özel bir sürümünü hızlı bir şekilde oluşturmasını kolaylaştıran bir fidye yazılımı oluşturucu kullanılarak oluşturulur. Xorist Ransomware çeşitlerinin özelleştirilebilme kolaylığı, bu tehdidin farklı şifreli dosya uzantıları, şifreleme, fidye mesajları ve diğer çeşitli stratejiler kullanan sayısız çeşidi olduğundan, PC güvenlik araştırmacılarının çözüm sunmasını zorlaştırıyor. Neyse ki, PC güvenlik analistleri, Xorist Fidye Yazılımı türevlerini oluşturmak ve bu fidye yazılımı Truva atları ailesindeki tüm tehditler için bir şifre çözücü oluşturmak için kullanılan fidye yazılımı oluşturucusunu bulabildi. Dosyalarınız Xorist Ransomware'in bir çeşidi tarafından şifrelenmişse, şifre çözme yardımcı programı, fidye ödemek zorunda kalmadan dosyalarınızı kurtarmanıza yardımcı olabilir.

Xorist Fidye Yazılımı ve Bu Tehdidin Birçok Varyantı

Oluşturucusuna erişiminiz varsa, Xorist Ransomware'in bir türevini oluşturmak kolaydır. Şu anda, Xorist Ransomware'in oluşturucusu 'Encoder Builder v. 24' olarak adlandırılıyor ve Dark Web'deki yer altı forumlarından satın alınabilir. Dolandırıcılar oluşturucuya sahip olduklarında, çeşitli onay kutularını doldurabilir ve Xorist Fidye Yazılımının özel bir sürümünü kolayca oluşturmak için istedikleri seçenekleri seçebilirler. İstenmeyen e-posta iletilerini veya zararlı botnet'leri içeren tehditlerini dağıtmak için seçtikleri yöntemi kullanabilirler. Xorist Ransomware oluşturucu, bir kimlik numarasıyla belirli bir numaraya SMS metin mesajı gönderme seçeneğini içeren varsayılan bir fidye notu mesajına sahiptir. Bu şekilde, dolandırıcılar kurbanı kimlik numarasıyla eşleştirebilir ve fidyeyi ödedikten sonra dosyalarının şifresini çözmek için onlara şifre gönderebilir. Özel olarak tasarlanmış bir Xorist Ransomware yürütülebilir dosyasının tüm varyantları, Xorist Ransomware varyantı oluşturulurken seçilen (ve rastgele seçilebilen) aynı parolayı kullanır.

Xorist Ransomware Varyant Varsayılan Ayarlarına Bir Bakış

Xorist Ransomware çeşitleri için varsayılan şifreleme seçeneği TEA'dır ve varsayılan şifre 4kuxF2j6JU4i18KGbEYLyK2d'dir. Xorist Ransomware'in varsayılan sürümü EnCiPhErEd dosya uzantısını kullanır. Xorist Fidye Yazılımı ile ilişkili varsayılan fidye notu, FILES.txt HOW TO DECRYPT DECRYPT olarak adlandırılır ve aşağıdaki metni içerir:

Dikkat! Tüm dosyalarınız şifrelenir!
Dosyalarınızı geri yüklemek ve onlara erişmek için,
lütfen XXXX yazıp YYYY numarasına bir SMS gönderin.

Kodu girmek için N deneme hakkınız var.
Bu sayı aşıldığında,
tüm veriler geri döndürülemez şekilde yok edilir.
Kodu girerken dikkatli olun!

Varsayılan olarak, Xorist Ransomware çeşitleri aşağıdaki uzantıları hedefleyecektir (listeye daha fazlası eklenebilir):

*.zip, *.rar, *.7z, *.tar, *.gzip, *.jpg, *.jpeg, *.psd, *.cdr, *.dwg, *.max, *.bmp, *. gif, *.png, *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.txt, *.pdf, *.djvu, *.htm, *.html, *.mdb, *.cer, *.p12, *.pfx, *.kwm, *.pwm, *.1cd, *.md, *.mdf, *.dbf, *.odt, *.vob, *. ifo, *.lnk, *.torrent, *.mov, *.m2v, *.3gp, *.mpeg, *.mpg, *.flv, *.avi, *.mp4, *.wmv, *.divx, *.mkv, *.mp3, *.wav, *.flac, *.ape, *.wma, *.ac3.

Dolandırıcılar, fidye notu metnini, şifreli dosya uzantılarını, hedeflenen dosya türlerini, izin verilen parola denemesi miktarını, fidye mesajının ne zaman görüntüleneceğini, TEA veya XOR şifrelemesini, şifre çözme parolasını, simgeyi değiştirmek için Xorist Fidye Yazılımı oluşturucusunu kullanabilir. tehdidin yürütülebilir dosyası, etkilenen bilgisayar sisteminin Masaüstü görüntüsünün değiştirilip değiştirilmeyeceği, otomatik başlatma, metin fidye notlarının düşülmesi gerekip gerekmediği, Xorist Fidye Yazılımının UPX kullanılarak paketlenip paketlenmeyeceği vb. Xorist Fidye Yazılımı, özellikle karmaşık bir fidye yazılımı Truva atı enfeksiyonu değildir. . Bununla birlikte, Xorist Ransomware'in son derece özelleştirilebilir ve oluşturulmasının kolay olması, çok sayıda yeni enfeksiyon getirme ve halihazırda artan sayıda fidye yazılımı enfeksiyonuna dolandırıcılık yapma tehdidi oluşturabilir.

5 Ocak 2019 Güncellemesi — BooM Ransomware

BooM Ransomware veya yazarının dediği gibi 'Boom Ransomeware', Xorist Ransomware'in özelleştirilmiş bir sürümünü ve yeni bir GUI'yi (Genel Kullanıcı Arayüzü) yükleyen bir şifreleme Truva atıdır. BooM Ransomware, Xorist Builder ile üretilmiştir, ancak Xorist-XWZ Ransomware ve Xorist-Frozen Ransomware gibi daha önce kaydettiğimiz çoğu sürümden farklıdır. BooM Ransomware'in, istenmeyen e-postalar ve sosyal medya hizmetleri için sahte bilgisayar korsanlığı araçları yoluyla PC kullanıcıları arasında yayıldığına inanılıyor. Fidye yazılımı operatörlerinin tehdit yükünü iletmek için 'facebook 2019 hack' gibi programları kullandığı bildiriliyor.

BooM Ransomware'in, virüslü cihazlarda 'Tempsvchost.exe' ve 'BooM.exe' adlı bir işlem oluşturduğu bilinmektedir. BooM Ransomware, güvenliği ihlal edilmiş makinelerdeki fotoğraflar, ses, video, metin, PDF'ler ve veritabanları gibi verileri şifrelemek için tasarlanmıştır. BooM Ransomware, dosyaları şifreler ve veri kurtarmayı önlemek için Windows tarafından oluşturulan Gölge Birim Kopyalarını kaldırır. Ancak, Windows kullanıcılarına sunulan diğer yedekleme hizmetleriyle oluşturulan veri yedeklemelerini kullanabilmelisiniz. BooM Ransomware 'Boom Ransomeware' başlıklı bir program penceresi, 'NASIL DECRYPT FILES.txt' adlı bir metin notu oluşturur ve kurbanları verileriyle ne olduğu konusunda bilgilendirmek için bir masaüstü görüntüsü arka planı bırakır. Etkilenen dosyalar '.Boom' uzantısını alır ve 'Anthem 2019.mp4' gibi bir şey 'Anthem 2019.mp4.Boom' olarak yeniden adlandırılır.

BooM Ransomware tarafından sağlanan masaüstü arka planı, üstünde kırmızı metin bulunan siyah bir ekrandır:

'ooooops Size bir virüs Boom Ransomeware bulaştı
Kodlayıcının şifresini çözmek için tüm dosyalarınız şifrelendi. PIN girin
Dosyaların şifresini çözmek için size şifreyi göstermek için
Yakında görüşürüz'

Program penceresi yeni bir simge içerir - kırmızı bir kilit simgesi, kullanıcının hesap adı ve Facebook'ta Mohamed Naser Ahmed adlı birine ait bir hesaba bağlantı. Yazarken, kullanıcı adını 'Ibrahim Rady' olarak değiştirmiştir ve sayfa aktif kalmaktadır. 'Boom Ransomeware' penceresindeki metin şöyledir:

'Hoşgeldiniz
Boom Ransomeware'de
Ooooops Tüm Dosyalarınız Oldu
Şifreli Şifreli
Şifreyi Göstermek İçin Önce PIN Girin
Yakında görüşürüz
şifre::: [METİN KUTUSU] [Kopyala|BUTTON]
PIN'i girin [METİN KUTUSU] [Şifreyi göster|BUTTON]
[PIN|BUTTON al]'

Garip bir şekilde, BooM Ransomware operatörleri, virüslü kullanıcılarla Facebook üzerinden pazarlık yapmayı tercih ediyor. Yukarıda bahsi geçen not — 'NASIL DOSYALAR.txt DECRYPT DEĞERLENDİRİLİR' — masaüstünde bulunabilir ve aşağıdaki mesajı içerir:

'Dosyaların şifresi nasıl çözülür
PIN'ini al
Virüsten arındırın
Dosyaların şifresini çözmek için şifreyi çıkarmak için
Masaüstünüzdeki bir klasörde
Ardından, size gösterecek küçük pencerede bir şifre girin
pin için
Facebook'ta benimle konuş
Benim adım = Mohamed Naser Ahmed
benim kimliğim = 100027091457754'

Ancak, bilgisayar araştırmacıları BooM Ransomware'de sabit kodlanmış bir PIN ve şifre keşfetti. BooM Ransomware'in ilk sürümü sırasında güvenliği ihlal edilmiş olabilecek PC kullanıcıları, 'Boom Ransomeware' program penceresine '34584384186746875497' PIN kodunu ve 'B3ht4w316MsyQS47Sx18SA4q' parolasını girmeye çalışabilirler. Daha önce bahsedilen PIN ve şifrenin herkes için işe yarayıp yaramayacağından emin değiliz, ancak denemelisiniz. BooM Ransomware aracılığıyla tanıtılan hesaplara para ödemeyin ve Bitcoin ile ödenen potansiyel "şifre çözme hizmetleri" ile temastan kaçının. Bir bilgisayar teknisyeninden ve tercih ettiğiniz siber güvenlik satıcısından yardım almak daha iyidir. Fidye Yazılım örnekleriyle çalışan uzmanlarla iletişime geçerseniz, BooM Fidye Yazılımından etkilenen verilerin kodunu çözmek mümkün olabilir.

BooM Ransomware için algılama adları şunları içerir:

Artemis!E8E07496DF53
HEUR/QVM11.1.5569.Malware.Gen
Kötü amaçlı yazılım@#38vlyeighbrin
Fidye:Win32/Sorikrypt.A
Ransom_Sorikrypt.R014C0DLN18
TR/Ransom.Xorist.EJ
TrojWare.Win32.Kryptik.ER@4o1ar2
Truva atı ( 001f8f911)
Trojan-Ransom.Win32.Xorist.ln
Trojan.GenericKD.40867299 (B)
Truva.Fidye.AIG
Trojan.Win32.Xorist.4!c
kötü niyetli.92f093
malware_confidence_100% (W)

SpyHunter Xorist Fidye Yazılımı'u Algılar ve Kaldırır