XDec Ransomware bloquea las unidades de las víctimas

Al examinar nuevas muestras de malware, nos encontramos con xDec, un tipo de ransomware vinculado a la familia Phobos. Este software malicioso cifra archivos, altera sus nombres y muestra dos notas de rescate llamadas "info.txt" e "info.hta". Además, el ransomware xDec añade el ID de la víctima, una dirección de correo electrónico y la extensión ".xDec" a los nombres de archivos.

Por ejemplo, cambia "1.jpg" a "1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec", "2.png" a "2.png.id[9ECFA84E -3449].[x-decrypt@worker.com].xDec", y así sucesivamente. La nota de rescate notifica a la víctima que sus archivos han sido cifrados debido a un problema de seguridad en su computadora. Proporciona la dirección de correo electrónico x-decrypt@worker.com para que la víctima se comunique para comenzar el proceso de restauración del archivo. La nota especifica que la víctima debe incluir una identificación específica en la línea de asunto de su mensaje.

Si no hay respuesta dentro de las 24 horas, se le indica a la víctima que se comunique con otra dirección de correo electrónico, x-decrypt@hackermail.com. La nota explica que el pago por el descifrado debe realizarse en Bitcoins y que el costo de descifrado varía dependiendo de la rapidez con la que la víctima contacta a los atacantes.

Para tranquilizar a la víctima, la nota ofrece descifrado gratuito de hasta tres archivos, con restricciones específicas en cuanto al tamaño y contenido del archivo. Advierte contra cambiar el nombre de los archivos cifrados o intentar descifrarlos utilizando software de terceros, ya que hacerlo puede provocar una pérdida permanente de datos o un aumento en el costo de descifrado.

Notas de rescate de xDec en su totalidad

La versión breve de la nota de rescate generada dentro de "info.txt" dice lo siguiente:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com

La versión más completa de la nota dentro de la ventana emergente dice lo siguiente:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

You can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

¿Cuál es la mejor manera de proteger sus datos contra el ransomware?

Proteger sus datos del ransomware requiere un enfoque de múltiples capas que combine medidas preventivas y estrategias proactivas. A continuación se muestran algunas formas efectivas de proteger sus datos:

Copias de seguridad periódicas: realice copias de seguridad periódicas de sus archivos y datos importantes en un dispositivo de almacenamiento externo o en un servicio seguro en la nube. Asegúrese de que sus copias de seguridad estén almacenadas sin conexión o en una ubicación separada de sus sistemas principales para evitar que el ransomware las cifre.

Actualizar software: mantenga actualizado su sistema operativo, software antivirus y todas las demás aplicaciones con los últimos parches y actualizaciones de seguridad. El ransomware suele aprovechar vulnerabilidades conocidas en software obsoleto, por lo que las actualizaciones oportunas pueden ayudar a prevenir infecciones.

Utilice software antivirus/antimalware: instale software antivirus o antimalware de buena reputación en todos sus dispositivos y manténgalo actualizado. Estos programas pueden detectar y eliminar ransomware antes de que pueda cifrar sus archivos.

Habilitar firewall: active y configure correctamente los firewalls en su red para monitorear y controlar el tráfico entrante y saliente. Los firewalls pueden bloquear intentos de acceso no autorizados y ayudar a evitar que el ransomware se infiltre en sus sistemas.

Restringir los permisos de los usuarios: limite los permisos de los usuarios solo a lo necesario para sus funciones. Esto puede evitar que el ransomware se propague por su red al restringir la capacidad del software malicioso para acceder y cifrar archivos.

Supervise la actividad de la red: utilice herramientas de supervisión de la red para rastrear y analizar el tráfico de la red en busca de signos de actividad sospechosa o acceso no autorizado. La detección temprana puede ayudar a evitar que el ransomware se propague y cause daños importantes.

Implemente filtrado de correo electrónico: implemente soluciones de filtrado de correo electrónico para detectar y poner en cuarentena automáticamente correos electrónicos de phishing y archivos adjuntos maliciosos antes de que lleguen a las bandejas de entrada de los usuarios. Esto puede reducir significativamente el riesgo de infecciones de ransomware por correo electrónico.