Το xDec Ransomware κλειδώνει τις μονάδες δίσκου θυμάτων

Κατά την εξέταση νέων δειγμάτων κακόβουλου λογισμικού, συναντήσαμε το xDec, έναν τύπο ransomware που συνδέεται με την οικογένεια Phobos. Αυτό το κακόβουλο λογισμικό κρυπτογραφεί αρχεία, αλλάζει τα ονόματα των αρχείων τους και εμφανίζει δύο σημειώσεις λύτρων που ονομάζονται "info.txt" και "info.hta". Επιπλέον, το xDec ransomware προσθέτει το αναγνωριστικό του θύματος, μια διεύθυνση email και την επέκταση ".xDec" στα ονόματα αρχείων.

Για παράδειγμα, αλλάζει το "1.jpg" σε "1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec", "2.png" σε "2.png.id[9ECFA84E -3449].[x-decrypt@worker.com].xDec", και ούτω καθεξής. Το σημείωμα λύτρων ειδοποιεί το θύμα ότι τα αρχεία του έχουν κρυπτογραφηθεί λόγω προβλήματος ασφαλείας με τον υπολογιστή του. Παρέχει τη διεύθυνση email x-decrypt@worker.com με την οποία μπορεί να επικοινωνήσει το θύμα για να ξεκινήσει η διαδικασία αποκατάστασης αρχείων. Η σημείωση προσδιορίζει ότι το θύμα πρέπει να συμπεριλάβει ένα συγκεκριμένο αναγνωριστικό στη γραμμή θέματος του μηνύματός του.

Εάν δεν υπάρξει απάντηση εντός 24 ωρών, το θύμα λαμβάνει οδηγίες να επικοινωνήσει με μια άλλη διεύθυνση ηλεκτρονικού ταχυδρομείου, x-decrypt@hackermail.com. Το σημείωμα εξηγεί ότι η πληρωμή για την αποκρυπτογράφηση πρέπει να γίνεται σε Bitcoin και ότι το κόστος αποκρυπτογράφησης ποικίλλει ανάλογα με το πόσο γρήγορα το θύμα επικοινωνεί με τους εισβολείς.

Για να καθησυχάσει το θύμα, η σημείωση προσφέρει δωρεάν αποκρυπτογράφηση έως και τριών αρχείων, με συγκεκριμένους περιορισμούς στο μέγεθος και το περιεχόμενο του αρχείου. Προειδοποιεί να μην μετονομάσετε κρυπτογραφημένα αρχεία ή να προσπαθήσετε να τα αποκρυπτογραφήσετε χρησιμοποιώντας λογισμικό τρίτων, καθώς κάτι τέτοιο μπορεί να οδηγήσει σε μόνιμη απώλεια δεδομένων ή σε αύξηση του κόστους αποκρυπτογράφησης.

Πλήρεις σημειώσεις xDec Ransom

Η σύντομη έκδοση του σημειώματος λύτρων που δημιουργήθηκε στο "info.txt" έχει ως εξής:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com

Η πληρέστερη έκδοση της σημείωσης μέσα στο αναδυόμενο παράθυρο έχει ως εξής:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

You can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Πώς μπορείτε να προστατεύσετε καλύτερα τα δεδομένα σας από Ransomware;

Η προστασία των δεδομένων σας από ransomware απαιτεί μια πολυεπίπεδη προσέγγιση που συνδυάζει τόσο προληπτικά μέτρα όσο και προληπτικές στρατηγικές. Ακολουθούν ορισμένοι αποτελεσματικοί τρόποι για την προστασία των δεδομένων σας:

Τακτικά αντίγραφα ασφαλείας: Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων και δεδομένων σας σε μια εξωτερική συσκευή αποθήκευσης ή σε μια ασφαλή υπηρεσία cloud. Βεβαιωθείτε ότι τα αντίγραφα ασφαλείας σας αποθηκεύονται εκτός σύνδεσης ή σε ξεχωριστή τοποθεσία από τα κύρια συστήματά σας για να αποτρέψετε την κρυπτογράφηση τους από ransomware.

Ενημέρωση λογισμικού: Διατηρήστε το λειτουργικό σας σύστημα, το λογισμικό προστασίας από ιούς και όλες τις άλλες εφαρμογές ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και ενημερώσεις. Το Ransomware εκμεταλλεύεται συχνά γνωστά τρωτά σημεία σε απαρχαιωμένο λογισμικό, επομένως οι έγκαιρες ενημερώσεις μπορούν να βοηθήσουν στην πρόληψη μολύνσεων.

Χρήση λογισμικού προστασίας από ιούς/κακόβουλου λογισμικού: Εγκαταστήστε αξιόπιστο λογισμικό προστασίας από ιούς ή κακόβουλο λογισμικό σε όλες τις συσκευές σας και κρατήστε το ενημερωμένο. Αυτά τα προγράμματα μπορούν να εντοπίσουν και να αφαιρέσουν ransomware προτού μπορέσει να κρυπτογραφήσει τα αρχεία σας.

Ενεργοποίηση τείχους προστασίας: Ενεργοποιήστε και διαμορφώστε σωστά τα τείχη προστασίας στο δίκτυό σας για την παρακολούθηση και τον έλεγχο της εισερχόμενης και εξερχόμενης κυκλοφορίας. Τα τείχη προστασίας μπορούν να εμποδίσουν μη εξουσιοδοτημένες απόπειρες πρόσβασης και να βοηθήσουν στην αποτροπή διείσδυσης ransomware στα συστήματά σας.

Περιορισμός δικαιωμάτων χρήστη: Περιορίστε τα δικαιώματα χρήστη μόνο σε ό,τι είναι απαραίτητο για τους ρόλους τους. Αυτό μπορεί να αποτρέψει την εξάπλωση του ransomware στο δίκτυό σας περιορίζοντας τη δυνατότητα του κακόβουλου λογισμικού να έχει πρόσβαση και να κρυπτογραφεί αρχεία.

Παρακολούθηση δραστηριότητας δικτύου: Χρησιμοποιήστε εργαλεία παρακολούθησης δικτύου για να παρακολουθείτε και να αναλύετε την κυκλοφορία του δικτύου για τυχόν σημάδια ύποπτης δραστηριότητας ή μη εξουσιοδοτημένης πρόσβασης. Η έγκαιρη ανίχνευση μπορεί να βοηθήσει στην πρόληψη της εξάπλωσης του ransomware και της πρόκλησης εκτεταμένων ζημιών.

Ανάπτυξη φιλτραρίσματος email: Εφαρμόστε λύσεις φιλτραρίσματος email για να ανιχνεύσετε αυτόματα και να θέσετε σε καραντίνα τα email ηλεκτρονικού ψαρέματος και τα κακόβουλα συνημμένα πριν φτάσουν στα εισερχόμενα των χρηστών. Αυτό μπορεί να μειώσει σημαντικά τον κίνδυνο μολύνσεων από ransomware μέσω email.