XDec ランサムウェアが被害者のドライブをロック
新しいマルウェア サンプルを調査しているときに、Phobos ファミリーに関連するランサムウェアの一種である xDec を発見しました。この悪意のあるソフトウェアは、ファイルを暗号化し、ファイル名を変更し、「info.txt」と「info.hta」という 2 つの身代金要求メッセージを表示します。さらに、xDec ランサムウェアは、被害者の ID、電子メール アドレス、および「.xDec」拡張子をファイル名に追加します。
たとえば、「1.jpg」は「1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec」に、「2.png」は「2.png.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec」などに変更されます。身代金要求メッセージは、コンピュータのセキュリティ問題によりファイルが暗号化されたことを被害者に通知します。ファイル復元プロセスを開始するために被害者が連絡を取るための電子メール アドレス x-decrypt@worker.com が提供されます。メッセージでは、被害者がメッセージの件名に特定の ID を含める必要があると指定されています。
24 時間以内に応答がない場合は、被害者は別のメール アドレス x-decrypt@hackermail.com に連絡するよう指示されます。この通知には、復号化の支払いはビットコインで行う必要があり、復号化のコストは被害者が攻撃者に連絡する速さによって異なることが説明されています。
被害者を安心させるために、この通知では、ファイルのサイズと内容に特定の制限があるものの、最大 3 つのファイルの復号を無料で提供しています。暗号化されたファイルの名前を変更したり、サードパーティのソフトウェアを使用して復号を試みたりすることは、永久的なデータ損失や復号コストの増加につながる可能性があるため、行わないよう警告しています。
xDec 身代金要求書全文
「info.txt」内に生成された身代金要求メモの簡潔なバージョンは次のとおりです。
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com
ポップアップ ウィンドウ内のメモの完全版は次のとおりです。
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsYou can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
ランサムウェアからデータを最も効果的に保護するにはどうすればよいでしょうか?
ランサムウェアからデータを保護するには、予防策とプロアクティブな戦略を組み合わせた多層的なアプローチが必要です。ここでは、データを保護するための効果的な方法をいくつか紹介します。
定期的なバックアップ:重要なファイルとデータを外部ストレージ デバイスまたは安全なクラウド サービスに定期的にバックアップします。バックアップがランサムウェアによって暗号化されるのを防ぐため、バックアップはオフラインまたはメイン システムとは別の場所に保存してください。
ソフトウェアの更新:最新のセキュリティ パッチと更新プログラムを適用して、オペレーティング システム、ウイルス対策ソフトウェア、およびその他のすべてのアプリケーションを最新の状態に保ってください。ランサムウェアは古いソフトウェアの既知の脆弱性を悪用することが多いため、タイムリーな更新によって感染を防ぐことができます。
ウイルス対策/マルウェア対策ソフトウェアを使用する:すべてのデバイスに信頼できるウイルス対策またはマルウェア対策ソフトウェアをインストールし、最新の状態に保ってください。これらのプログラムは、ランサムウェアがファイルを暗号化する前にそれを検出して削除できます。
ファイアウォールを有効にする:ネットワーク上のファイアウォールを有効にして適切に構成し、受信トラフィックと送信トラフィックを監視および制御します。ファイアウォールは不正なアクセスの試みをブロックし、ランサムウェアがシステムに侵入するのを防ぐのに役立ちます。
ユーザー権限の制限:ユーザー権限を、役割に必要なものだけに制限します。これにより、悪意のあるソフトウェアがファイルにアクセスして暗号化する能力が制限され、ランサムウェアがネットワーク全体に広がるのを防ぐことができます。
ネットワーク アクティビティの監視:ネットワーク監視ツールを使用して、ネットワーク トラフィックを追跡および分析し、疑わしいアクティビティや不正アクセスの兆候がないか確認します。早期検出により、ランサムウェアの拡散や大きな被害を防ぐことができます。
電子メール フィルタリングを導入する:電子メール フィルタリング ソリューションを実装して、フィッシング メールや悪意のある添付ファイルがユーザーの受信トレイに届く前に自動的に検出して隔離します。これにより、電子メールを介したランサムウェア感染のリスクを大幅に軽減できます。
