Xorist勒索軟件

Xorist勒索軟件是作為RaaS（勒索軟件即服務）提供的家庭勒索軟件木馬。安全分析師注意到，Xorist勒索軟件感染數量顯著增加，並且針對與此威脅有關的問題尋求幫助。 Xorist勒索軟件變體是通過使用勒索軟件構建器創建的，它使騙子可以輕鬆地快速創建此勒索軟件威脅的自定義版本。 Xorist Ransomware變體易於定制，使得PC安全研究人員很難提供解決方案，因為存在無數種這種威脅的變體，使用了不同的加密文件擴展名，加密，勒索消息和各種其他策略。幸運的是，PC安全分析人員已經能夠找到用於創建Xorist Ransomware變體的勒索軟件生成器，並為該勒索軟件木馬家族中的所有威脅創建解密器。如果您的文件已通過Xorist勒索軟件的變體加密，則解密實用程序可以幫助您恢復文件而無需支付贖金。

Xorist勒索軟件和此威脅的許多變體

如果可以訪問Xorist Ransomware的構建器，則很容易創建它的變體。目前，用於Xorist Ransomware的構建器稱為" Encoder Builder v。24"，可以在Dark Web的地下論壇上購買。一旦騙子獲得了構建器，他們就可以填寫各種複選框並選擇所需的選項，以輕鬆創建Xorist Ransomware的自定義版本。他們可以使用自己選擇的方法來分發威脅，其中包括垃圾郵件或有害的殭屍網絡。 Xorist勒索軟件構建器具有默認的勒索便條消息，該消息包含用於將具有ID號的SMS文本消息發送到特定號碼的選項。這樣，欺詐者就可以將受害者與他們的ID號進行匹配，並在他們支付了贖金後向他們發送密碼以解密其文件。定制設計的Xorist Ransomware可執行文件的所有變體都將使用相同的密碼，該密碼在創建Xorist Ransomware變體時會被選擇（可以隨機選擇）。

查看Xorist勒索軟件變體默認設置

Xorist Ransomware變體的默認加密選項為TEA，默認密碼為4kuxF2j6JU4i18KGbEYLyK2d。 Xorist Ransomware的默認版本使用文件擴展名EnCiPhErEd。與Xorist勒索軟件關聯的默認勒索便箋名為HOW TO DECRYPT FILES.txt，其中包括以下文本：

注意力！您的所有文件都已加密！
要還原文件並訪問它們，
請發送帶有XXXX到YYYY號碼的短信。

您有N次嘗試輸入密碼。
當超過該數字時，
所有數據不可逆轉地被破壞。
輸入密碼時要小心！

默認情況下，Xorist Ransomware變體將針對以下擴展（可能會添加更多擴展名）：

* .zip，*。rar，*。7z，*。tar，*。gzip，*。jpg，*。jpeg，*。psd，*。cdr，*。dwg，*。max，*。bmp，*。 gif，*。png，*。doc，*。docx，*。xls，*。xlsx，*。ppt，*。pptx，*。txt，*。pdf，*。djvu，*。htm，*。html， * .mdb，*。cer，*。p12，*。pfx，*。kwm，*。pwm，*。1cd，*。md，*。mdf，*。dbf，*。odt，*。vob，*。 ifo，*。lnk，*。torrent，*。mov，*。m2v，*。3gp，*。mpeg，*。mpg，*。flv，*。avi，*。mp4，*。wmv，*。divx， * .mkv，*。mp3，*。wav，*。flac，*。ape，*。wma，*。ac3。

騙子可以使用Xorist勒索軟件生成器來更改勒索註釋文本，加密的文件擴展名，目標文件的類型，允許的密碼嘗試次數，何時顯示勒索消息，TEA或XOR加密，解密密碼，威脅的可執行文件，是否更改受影響的計算機系統的桌面映像，自動啟動，是否應丟棄文本贖金記錄，是否應使用UPX包裝Xorist勒索軟件等。Xorist勒索軟件不是特別複雜的勒索軟件Trojan感染。但是，Xorist勒索軟件的高度可定制性和易於創建的事實可能帶來威脅，帶來了許多新的感染，並且騙子也受到了越來越多的勒索軟件感染。

2019年1月5日更新— BooM Ransomware

BooM Ransomware或其作者稱其為" Boom Ransomeware"，是一種加密木馬，可加載Xorist Ransomware的自定義版本和新的GUI（常規用戶界面）。 BooM Ransomware是使用Xorist Builder生成的，但是它與我們先前記錄的大多數版本（例如Xorist-XWZ Ransomware和Xorist-Frozen Ransomware）不同。據信，BooM Ransomware通過垃圾郵件和社交媒體服務的偽造黑客工具在PC用戶中傳播。據報導，勒索軟件運營商使用諸如``hack facebook 2019''之類的程序來提供威脅有效載荷。

已知BooM Ransomware會在受感染的設備上創建一個名為" Tempsvchost.exe"和" BooM.exe"的進程。 BooM Ransomware旨在對受感染機器上的照片，音頻，視頻，文本，PDF和數據庫等數據進行加密。 BooM Ransomware會加密文件並刪除Windows製作的捲影副本，以防止數據恢復。但是，您應該能夠使用通過Windows用戶可用的其他備份服務創建的數據備份。 BooM Ransomware創建一個名為" Boom Ransomeware"的程序窗口，該文本窗口名為" HOW TO DECRYPT FILES.txt"，並留下一個桌面圖像背景，以告知受害者其數據所發生的情況。受影響的文件具有'.Boom'擴展名，並且類似" Anthem 2019.mp4"的名稱已重命名為" Anthem 2019.mp4.Boom"。

BooM Ransomware提供的桌面背景是黑屏，頂部帶有紅色文本，顯示為：

'ooooops，您已經感染了Boom Ransomeware病毒
您的所有文件均已加密，以解密編碼器。輸入PIN碼
向您顯示解密文件的密碼
再見'

該程序窗口包括一個新圖標-一個紅色鎖定圖標，用戶的帳戶名以及指向Facebook上名為Mohamed Naser Ahmed的某人的帳戶的鏈接。在撰寫本文時，用戶已將名稱更改為" Ibrahim Rady"，並且頁面保持活動狀態。 " Boom Ransomeware"窗口中的文本顯示為：

'歡迎
在Boom Ransomeware中
糟糕，您的所有文件都被保存了
用密碼加密
要顯示密碼，請先輸入PIN碼
再見
密碼：：： [文本框] [複製|按鈕]
輸入PIN碼[文本框] [顯示密碼|按鈕]
[獲取PIN |按鈕]'

奇怪的是，BooM Ransomware的運營商選擇通過Facebook與受感染的用戶進行協商。上面提到的註釋" HOW TO DECRYPT FILES.txt"可以在桌面上找到，並包含以下消息：

'如何解密文件
得到你的針
在病毒中純化
為了提取密碼解密文件
在桌面上的文件夾中
然後在小窗口中將其放入密碼中，該密碼將顯示給您
對於別針
在Facebook上與我交談
我的名字=穆罕默德·納賽爾·艾哈邁德（Mohamed Naser Ahmed）
我的ID = 100027091457754'

但是，計算機研究人員在BooM Ransomware中發現了硬編碼的PIN和密碼。在初始版本的BooM Ransomware期間可能受到感染的PC用戶可以嘗試在" Boom Ransomeware"程序窗口中輸入PIN" 34584384186746875875"和密碼" B3ht4w316MsyQS47Sx18SA4q"。我們不確定前面提到的PIN和密碼是否對所有人都適用，但是您應該嘗試一下。不要向通過BooM Ransomware推廣的帳戶付款，並避免與用比特幣支付的潛在"解密服務"聯繫。最好從計算機技術人員和您首選的網絡安全供應商那裡獲得幫助。如果您聯繫使用Ransomware示例的專家，則可能可以解碼受BooM Ransomware影響的數據。

BooM Ransomware的檢測名稱包括：

Artemis！E8E07496DF53
HEUR / QVM11.1.5569.Malware.Gen
惡意軟件@＃38vlyeighbrin
贖金：Win32 / Sorikrypt.A
Ransom_Sorikrypt.R014C0DLN18
TR / Ransom.Xorist.EJ
TrojWare.Win32.Kryptik.ER@4o1ar2
木馬（001f8f911）
Trojan-Ransom.Win32.Xorist.ln
Trojan.GenericKD.40867299（B）
木馬贖金
Trojan.Win32.Xorist.4！c
惡意的92f093
惡意信任度100％（W）

SpyHunter 检测并删除 Xorist勒索軟件