Xoristランサムウェア
脅威スコアカード
EnigmaSoft脅威スコアカード
EnigmaSoft Threat Scorecards は、当社の調査チームによって収集および分析されたさまざまなマルウェア脅威の評価レポートです。 EnigmaSoft Threat Scorecards は、現実世界および潜在的なリスク要因、傾向、頻度、有病率、永続性など、いくつかの指標を使用して脅威を評価し、ランク付けします。 EnigmaSoft の脅威スコアカードは、当社の調査データと指標に基づいて定期的に更新され、システムからマルウェアを削除するソリューションを求めるエンド ユーザーから、脅威を分析するセキュリティの専門家まで、幅広いコンピューター ユーザーに役立ちます。
EnigmaSoft 脅威スコアカードには、次のようなさまざまな有用な情報が表示されます。
ランキング: EnigmaSoft の脅威データベースにおける特定の脅威のランキング。
重大度:脅威評価基準で説明されているように、リスク モデリング プロセスと調査に基づいて数値で表された、オブジェクトの決定された重大度レベル。
感染したコンピュータ: SpyHunter によって報告された、感染したコンピュータで検出された特定の脅威の確認済みおよび疑いのあるケースの数。
脅威評価基準も参照してください。
脅威レベル: | 100 % (高い) |
感染したコンピューター: | 45 |
最初に見た: | April 13, 2016 |
最後に見たのは: | September 15, 2020 |
影響を受けるOS: | Windows |
Xorist Ransomwareは、RaaS(Ransomware as a Service)として提供されるファミリーランサムウェアトロイの木馬です。セキュリティアナリストは、Xorist Ransomwareの感染が著しく増加し、この脅威に関連する問題について支援を求めていることに気づきました。 Xorist Ransomwareの亜種は、詐欺師がこのランサムウェアの脅威のカスタムバージョンをすばやく簡単に作成できるようにするランサムウェアビルダーを使用して作成されます。 Xorist Ransomwareの亜種は簡単にカスタマイズできるため、さまざまな暗号化ファイル拡張子、暗号化、身代金メッセージ、その他のさまざまな戦略を使用するこの脅威の亜種は無数にあるため、PCセキュリティ研究者がソリューションを提供することは困難です。幸い、PCセキュリティアナリストは、Xorist Ransomwareバリアントを作成し、このランサムウェアトロイの木馬ファミリーのすべての脅威に対する復号化ツールを作成するために使用されるランサムウェアビルダーを見つけることができました。ファイルがXoristRansomwareの亜種によって暗号化されている場合、復号化ユーティリティを使用すると、身代金を支払うことなくファイルを回復できます。
目次
Xoristランサムウェアとこの脅威の多くの亜種
Xorist Ransomwareのビルダーにアクセスできる場合は、その亜種を簡単に作成できます。現在、XoristRansomwareのビルダーは「EncoderBuilderv。24」と呼ばれ、ダークウェブのアンダーグラウンドフォーラムで購入できます。詐欺師がビルダーを入手したら、さまざまなチェックボックスに入力し、必要なオプションを選択して、Xoristランサムウェアのカスタムバージョンを簡単に作成できます。選択した方法を使用して、スパムメールメッセージや有害なボットネットなどの脅威を配布できます。 Xorist Ransomware Builderには、ID番号付きのSMSテキストメッセージを特定の番号に送信するオプションを含むデフォルトの身代金メモメッセージがあります。このようにして、詐欺師は被害者をID番号と照合し、身代金を支払った後、ファイルを復号化するためのパスワードを送信できます。カスタム設計されたXoristRansomware実行可能ファイルのすべての亜種は、同じパスワードを使用します。このパスワードは、Xorist Ransomware亜種を作成するときに選択されます(ランダムに選択できます)。
Xorist RansomwareVariantのデフォルト設定を確認する
Xorist Ransomwareバリアントのデフォルトの暗号化オプションはTEAであり、デフォルトのパスワードは4kuxF2j6JU4i18KGbEYLyK2dです。 Xorist Ransomwareのデフォルトバージョンは、ファイル拡張子EnCiPhErEdを使用します。 Xorist Ransomwareに関連付けられているデフォルトの身代金メモは、HOW TO DECRYPT FILES.txtという名前で、次のテキストが含まれています。
注意!すべてのファイルは暗号化されています!
ファイルを復元してアクセスするには、
テキストXXXXを含むSMSをYYYY番号に送信してください。
コードの入力をN回試行しました。
その数を超えた場合、
すべてのデータは不可逆的に破壊されます。
コードを入力するときは注意してください!
デフォルトでは、Xorist Ransomwareの亜種は、次の拡張機能を対象としています(リストにさらに追加される可能性があります)。
* .zip、*。rar、*。7z、*。tar、*。gzip、*。jpg、*。jpeg、*。psd、*。cdr、*。dwg、*。max、*。bmp、*。 gif、*。png、*。doc、*。docx、*。xls、*。xlsx、*。ppt、*。pptx、*。txt、*。pdf、*。djvu、*。htm、*。html、 * .mdb、*。cer、*。p12、*。pfx、*。kwm、*。pwm、*。1cd、*。md、*。mdf、*。dbf、*。odt、*。vob、*。 ifo、*。lnk、*。torrent、*。mov、*。m2v、*。3gp、*。mpeg、*。mpg、*。flv、*。avi、*。mp4、*。wmv、*。divx、 * .mkv、*。mp3、*。wav、*。flac、*。ape、*。wma、*。ac3。
詐欺師は、Xorist Ransomware Builderを使用して、身代金メモのテキスト、暗号化されたファイル拡張子、対象となるファイルの種類、許可されるパスワードの試行回数、身代金メッセージを表示するタイミング、TEAまたはXOR暗号化、復号化パスワード、脅威の実行可能ファイル、影響を受けるコンピュータシステムのデスクトップイメージを変更するかどうか、自動起動、テキストの身代金メモを削除する必要があるかどうか、XoristランサムウェアをUPXを使用してパックする必要があるかどうかなど。Xoristランサムウェアは特に高度なランサムウェアトロイの木馬感染ではありません。 。ただし、Xoristランサムウェアが非常に高度にカスタマイズ可能で作成が容易であるという事実は、すでに増加しているランサムウェア感染に多数の新しい感染や詐欺師をもたらす脅威をもたらす可能性があります。
2019年1月5日更新— BooM Ransomware
BooMランサムウェア、またはその作成者が「ブームランサムウェア」と呼んでいるものは、Xoristランサムウェアのカスタマイズされたバージョンと新しいGUI(一般的なユーザーインターフェイス)をロードする暗号化トロイの木馬です。ブームランサムウェアはXorist Builderで作成されたが、それは私たちのような以前に記録されているほとんどのバージョンとは異なりXorist-XWZランサムウェアとXorist-冷凍ランサムウェア。 BooMランサムウェアは、スパムメールやソーシャルメディアサービス用の偽のハッキングツールを介してPCユーザーに拡散すると考えられています。ランサムウェアのオペレーターは、「ハックフェイスブック2019」などのプログラムを使用して脅威のペイロードを配信すると報告されています。
BooMランサムウェアは、感染したデバイス上に「Tempsvchost.exe」および「BooM.exe」と呼ばれるプロセスを作成することが知られています。 BooMランサムウェアは、侵害されたマシン上の写真、オーディオ、ビデオ、テキスト、PDF、データベースなどのデータを暗号化するように設計されています。 BooMランサムウェアはファイルを暗号化し、Windowsによって作成されたシャドウボリュームコピーを削除して、データの回復を防ぎます。ただし、Windowsユーザーが利用できる他のバックアップサービスで作成されたデータバックアップを使用できるはずです。 BooM Ransomwareは、「Boom Ransomeware」というタイトルのプログラムウィンドウ、「HOW TO DECRYPT FILES.txt」というテキストメモを作成し、デスクトップイメージの背景を残して、被害者にデータの内容を知らせます。影響を受けるファイルは「.Boom」拡張子を受け取り、「Anthem2019.mp4」のようなものは「Anthem2019.mp4.Boom」に名前が変更されます。
BooM Ransomwareによって提供されるデスクトップの背景は、黒い画面で、上部に赤いテキストが表示され、次のように表示されます。
'ooooopsあなたはウイルスに感染していますBoomRansomeware
エンコーダを復号化するために、すべてのファイルが暗号化されています。 PINを入力してください
ファイルを復号化するためのパスワードを表示するには
また近いうちにお会いしましょう'
プログラムウィンドウには、新しいアイコン(赤い鍵のアイコン、ユーザーのアカウント名、およびMohamed Naser Ahmedという名前の誰かが所有するFacebookのアカウントへのリンク)が含まれています。この記事の執筆時点で、ユーザーは名前を「Ibrahim Rady」に変更しており、ページはアクティブなままです。 「ブームランサムウェア」ウィンドウのテキストは次のとおりです。
'ようこそ
ブームランサムウェア
おっと、すべてのファイルが処理されました
パスワードで暗号化
パスワードを表示するには、最初にPINを入力します
また近いうちにお会いしましょう
パスワード::: [テキストボックス] [コピー|ボタン]
PINを入力[テキストボックス] [パスワードを表示|ボタン]
[PINを取得|ボタン] '
不思議なことに、BooMランサムウェアのオペレーターは、Facebookを介して感染したユーザーと交渉することを選択します。上記のメモ—'FILES.txtをデコードする方法 '—はデスクトップにあり、次のメッセージが含まれています。
'ファイルを復号化する方法
あなたのピンを取得します
ウイルスでそれを浄化する
パスワードを抽出してファイルを復号化するには
デスクトップ上のフォルダ内
次に、それを表示する小さなウィンドウのパスワードに入力します
ピン用
Facebookで私に話しかけてください
私の名前= Mohamed Naser Ahmed
私のID = 100027091457754 '
しかし、コンピューターの研究者は、BooMランサムウェアにハードコードされたPINとパスワードを発見しました。 BooMランサムウェアの初期リリース中に侵害された可能性のあるPCユーザーは、PIN「34584384186746875497」とパスワード「B3ht4w316MsyQS47Sx18SA4q」を「BoomRansomeware」プログラムウィンドウに入力しようとする可能性があります。前述のPINとパスワードがすべての人に役立つかどうかはわかりませんが、試してみてください。 BooMランサムウェアを通じて宣伝されたアカウントにお金を支払わないでください。また、ビットコインで支払われる潜在的な「復号化サービス」との接触を避けてください。コンピューター技術者とお好みのサイバーセキュリティベンダーの助けを借りることをお勧めします。ランサムウェアのサンプルを扱う専門家に連絡すれば、BooMランサムウェアの影響を受けるデータをデコードできる可能性があります。
BooMランサムウェアの検出名は次のとおりです。
アルテミス!E8E07496DF53
HEUR / QVM11.1.5569.Malware.Gen
マルウェア@#38vlyeighbrin
身代金:Win32 / Sorikrypt.A
Ransom_Sorikrypt.R014C0DLN18
TR / Ransom.Xorist.EJ
TrojWare.Win32.Kryptik.ER@4o1ar2
トロイの木馬(001f8f911)
トロイの木馬-Ransom.Win32.Xorist.ln
Trojan.GenericKD.40867299(B)
Trojan.Ransom.AIG
Trojan.Win32.Xorist.4!c
悪意のある.92f093
悪意のある_confidence_100%(W)
SpyHunterはXoristランサムウェアを検出して削除します
ファイルシステムの詳細
# | ファイル名 | MD5 |
検出
検出: SpyHunter によって報告された、感染したコンピューターで検出された特定の脅威の確認済みおよび疑いのあるケースの数。
|
---|---|---|---|
1. | file.exe | e9db7fe38dfea5668c74d6f192ae847b | 1 |
2. | file.exe | 27def0c68ee542333a8a99995429273a | 1 |
3. | file.exe | 1a2bcbcf04aeb44e406cc0b12e095fb4 | 0 |