XDec-Ransomware sperrt Laufwerke der Opfer

Bei der Untersuchung neuer Malware-Beispiele stießen wir auf xDec, eine Art Ransomware, die mit der Phobos-Familie in Verbindung steht. Diese Schadsoftware verschlüsselt Dateien, ändert ihre Dateinamen und zeigt zwei Lösegeldforderungen mit den Namen „info.txt“ und „info.hta“ an. Darüber hinaus hängt die xDec-Ransomware die ID des Opfers, eine E-Mail-Adresse und die Erweiterung „.xDec“ an die Dateinamen an.

Beispielsweise ändert es „1.jpg“ in „1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec“, „2.png“ in „2.png.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec“ und so weiter. Die Lösegeldforderung benachrichtigt das Opfer, dass seine Dateien aufgrund eines Sicherheitsproblems mit seinem Computer verschlüsselt wurden. Sie enthält die E-Mail-Adresse x-decrypt@worker.com, die das Opfer kontaktieren kann, um den Prozess der Dateiwiederherstellung einzuleiten. Die Forderung gibt an, dass das Opfer in der Betreffzeile seiner Nachricht eine bestimmte ID angeben soll.

Wenn innerhalb von 24 Stunden keine Antwort erfolgt, wird das Opfer angewiesen, eine andere E-Mail-Adresse zu kontaktieren: x-decrypt@hackermail.com. In der Notiz wird erklärt, dass die Zahlung für die Entschlüsselung in Bitcoins erfolgen muss und dass die Kosten für die Entschlüsselung davon abhängen, wie schnell das Opfer die Angreifer kontaktiert.

Um das Opfer zu beruhigen, bietet der Hinweis die kostenlose Entschlüsselung von bis zu drei Dateien an, wobei bestimmte Einschränkungen hinsichtlich Dateigröße und Inhalt gelten. Er warnt davor, verschlüsselte Dateien umzubenennen oder zu versuchen, sie mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust oder einer Erhöhung der Entschlüsselungskosten führen kann.

Vollständige Lösegeldforderungen von xDec

Die Kurzfassung der in „info.txt“ generierten Lösegeldforderung lautet wie folgt:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com

Die ausführlichere Version der Notiz im Popup-Fenster lautet wie folgt:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

You can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Wie können Sie Ihre Daten am besten vor Ransomware schützen?

Der Schutz Ihrer Daten vor Ransomware erfordert einen mehrschichtigen Ansatz, der sowohl vorbeugende Maßnahmen als auch proaktive Strategien kombiniert. Hier sind einige wirksame Möglichkeiten zum Schutz Ihrer Daten:

Regelmäßige Backups: Sichern Sie Ihre wichtigen Dateien und Daten regelmäßig auf einem externen Speichergerät oder einem sicheren Cloud-Dienst. Stellen Sie sicher, dass Ihre Backups offline oder an einem von Ihren Hauptsystemen getrennten Ort gespeichert sind, um zu verhindern, dass sie von Ransomware verschlüsselt werden.

Software aktualisieren: Halten Sie Ihr Betriebssystem, Ihre Antivirensoftware und alle anderen Anwendungen mit den neuesten Sicherheitspatches und -updates auf dem neuesten Stand. Ransomware nutzt häufig bekannte Schwachstellen in veralteter Software aus, sodass rechtzeitige Updates helfen können, Infektionen zu verhindern.

Verwenden Sie Antivirus-/Anti-Malware-Software: Installieren Sie auf allen Ihren Geräten bewährte Antivirus- oder Anti-Malware-Software und halten Sie sie auf dem neuesten Stand. Diese Programme können Ransomware erkennen und entfernen, bevor sie Ihre Dateien verschlüsseln kann.

Firewall aktivieren: Aktivieren und konfigurieren Sie Firewalls in Ihrem Netzwerk richtig, um eingehenden und ausgehenden Datenverkehr zu überwachen und zu kontrollieren. Firewalls können unbefugte Zugriffsversuche blockieren und verhindern, dass Ransomware in Ihre Systeme eindringt.

Benutzerberechtigungen einschränken: Beschränken Sie Benutzerberechtigungen auf das für ihre Rollen erforderliche Maß. Dadurch können Sie verhindern, dass sich Ransomware in Ihrem Netzwerk ausbreitet, indem Sie die Möglichkeit der Schadsoftware einschränken, auf Dateien zuzugreifen und diese zu verschlüsseln.

Überwachen Sie die Netzwerkaktivität: Verwenden Sie Netzwerküberwachungstools, um den Netzwerkverkehr zu verfolgen und zu analysieren und auf Anzeichen verdächtiger Aktivitäten oder unbefugten Zugriffs zu prüfen. Eine frühzeitige Erkennung kann dazu beitragen, die Verbreitung von Ransomware und die damit verbundene Verursachung erheblicher Schäden zu verhindern.

E-Mail-Filter einsetzen: Implementieren Sie E-Mail-Filterlösungen, um Phishing-E-Mails und bösartige Anhänge automatisch zu erkennen und unter Quarantäne zu stellen, bevor sie die Posteingänge der Benutzer erreichen. Dadurch kann das Risiko einer Ransomware-Infektion per E-Mail erheblich reduziert werden.