Oprogramowanie ransomware xDec blokuje dyski ofiar
Badając nowe próbki złośliwego oprogramowania, natknęliśmy się na xDec, rodzaj oprogramowania ransomware powiązanego z rodziną Phobos. To złośliwe oprogramowanie szyfruje pliki, zmienia ich nazwy i wyświetla dwie notatki z żądaniem okupu o nazwach „info.txt” i „info.hta”. Ponadto ransomware xDec dołącza identyfikator ofiary, adres e-mail i rozszerzenie „.xDec” do nazw plików.
Na przykład zmienia „1.jpg” na „1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec”, „2.png” na „2.png.id[9ECFA84E -3449].[x-decrypt@worker.com].xDec” i tak dalej. Notatka z żądaniem okupu informuje ofiarę, że jej pliki zostały zaszyfrowane ze względu na problemy z bezpieczeństwem komputera. Podaje adres e-mail x-decrypt@worker.com, z którym ofiara może się skontaktować, aby rozpocząć proces przywracania plików. W notatce wskazano, że ofiara powinna podać konkretny identyfikator w temacie swojej wiadomości.
Jeśli w ciągu 24 godzin nie otrzyma odpowiedzi, ofiara proszona jest o skontaktowanie się z innym adresem e-mail: x-decrypt@hackermail.com. W notatce wyjaśniono, że opłata za odszyfrowanie musi zostać dokonana w Bitcoinach, a koszt odszyfrowania różni się w zależności od tego, jak szybko ofiara kontaktuje się z atakującymi.
Aby uspokoić ofiarę, notatka oferuje bezpłatne odszyfrowanie maksymalnie trzech plików, ze szczególnymi ograniczeniami dotyczącymi rozmiaru i zawartości pliku. Ostrzega przed zmianą nazwy zaszyfrowanych plików lub próbą ich odszyfrowania przy użyciu oprogramowania innych firm, ponieważ może to spowodować trwałą utratę danych lub wzrost kosztu odszyfrowania.
Pełna treść notatki z żądaniem okupu xDec
Krótka wersja żądania okupu wygenerowanego w pliku „info.txt” brzmi następująco:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com
Pełna wersja notatki w wyskakującym oknie wygląda następująco:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsYou can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Jak najlepiej chronić swoje dane przed oprogramowaniem ransomware?
Ochrona danych przed oprogramowaniem ransomware wymaga wielowarstwowego podejścia, które łączy w sobie zarówno środki zapobiegawcze, jak i strategie proaktywne. Oto kilka skutecznych sposobów ochrony danych:
Regularne kopie zapasowe: regularnie twórz kopie zapasowe ważnych plików i danych na zewnętrznym urządzeniu pamięci masowej lub w bezpiecznej usłudze w chmurze. Upewnij się, że Twoje kopie zapasowe są przechowywane w trybie offline lub w lokalizacji innej niż główne systemy, aby zapobiec ich zaszyfrowaniu przez oprogramowanie ransomware.
Aktualizuj oprogramowanie: Aktualizuj swój system operacyjny, oprogramowanie antywirusowe i wszystkie inne aplikacje, korzystając z najnowszych poprawek i aktualizacji zabezpieczeń. Ransomware często wykorzystuje znane luki w nieaktualnym oprogramowaniu, dlatego terminowe aktualizacje mogą pomóc w zapobieganiu infekcjom.
Używaj oprogramowania antywirusowego/antymalware: zainstaluj renomowane oprogramowanie antywirusowe lub chroniące przed złośliwym oprogramowaniem na wszystkich swoich urządzeniach i aktualizuj je. Programy te potrafią wykryć i usunąć oprogramowanie ransomware, zanim będzie ono mogło zaszyfrować Twoje pliki.
Włącz zaporę sieciową: Aktywuj i odpowiednio skonfiguruj zapory sieciowe w swojej sieci, aby monitorować i kontrolować ruch przychodzący i wychodzący. Zapory ogniowe mogą blokować próby nieautoryzowanego dostępu i zapobiegać infiltracji systemów przez oprogramowanie ransomware.
Ogranicz uprawnienia użytkowników: Ogranicz uprawnienia użytkowników tylko do tych, które są niezbędne do ich ról. Może to zapobiec rozprzestrzenianiu się oprogramowania ransomware w sieci, ograniczając możliwości złośliwego oprogramowania w zakresie dostępu do plików i szyfrowania ich.
Monitoruj aktywność sieciową: Użyj narzędzi do monitorowania sieci, aby śledzić i analizować ruch sieciowy pod kątem oznak podejrzanej aktywności lub nieautoryzowanego dostępu. Wczesne wykrycie może pomóc zapobiec rozprzestrzenianiu się oprogramowania ransomware i powodowaniu rozległych szkód.
Wdróż filtrowanie poczty e-mail: wdrażaj rozwiązania do filtrowania poczty e-mail, aby automatycznie wykrywać i poddawać kwarantannie wiadomości e-mail typu phishing i złośliwe załączniki, zanim dotrą one do skrzynek odbiorczych użytkowników. Może to znacznie zmniejszyć ryzyko infekcji ransomware za pośrednictwem poczty elektronicznej.