„xDec Ransomware“ užrakina aukų įrenginius

Nagrinėdami naujus kenkėjiškų programų pavyzdžius, susidūrėme su xDec, išpirkos reikalaujančiomis programomis, susijusiomis su Phobos šeima. Ši kenkėjiška programinė įranga užšifruoja failus, pakeičia jų pavadinimus ir rodo du išpirkos užrašus, pavadintus „info.txt“ ir „info.hta“. Be to, „xDec ransomware“ prie failų pavadinimų prideda aukos ID, el. pašto adresą ir plėtinį „.xDec“.

Pavyzdžiui, „1.jpg“ pakeičiama į „1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec“, „2.png“ į „2.png.id[9ECFA84E“ -3449].[x-decrypt@worker.com].xDec“ ir pan. Išpirkos raštelyje aukai pranešama, kad jų failai buvo užšifruoti dėl kompiuterio saugumo problemos. Jame pateikiamas el. pašto adresas x-decrypt@worker.com, kuriuo auka gali susisiekti ir pradėti failo atkūrimo procesą. Pastaboje nurodoma, kad auka savo pranešimo temos eilutėje turėtų nurodyti konkretų ID.

Jei per 24 valandas neatsakoma, aukai nurodoma susisiekti kitu el. pašto adresu x-decrypt@hackermail.com. Pastaboje paaiškinama, kad už iššifravimą reikia mokėti bitkoinais ir kad iššifravimo kaina skiriasi priklausomai nuo to, kaip greitai auka susisiekia su užpuolikais.

Siekiant nuraminti auką, užrašas siūlo nemokamą iki trijų failų iššifravimą su konkrečiais failo dydžio ir turinio apribojimais. Jis įspėja nepervardyti šifruotų failų arba bandyti juos iššifruoti naudojant trečiosios šalies programinę įrangą, nes tai gali sukelti nuolatinį duomenų praradimą arba padidėti iššifravimo kaina.

xDec Ransom Notes visiškai

Trumpa išpirkos lakšto versija, sukurta „info.txt“, skamba taip:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com

Pilnesnė pastabos versija iššokančiajame lange yra tokia:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

You can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Kaip galite geriausiai apsaugoti savo duomenis nuo „Ransomware“?

Norint apsaugoti savo duomenis nuo išpirkos reikalaujančių programų, reikalingas daugiasluoksnis požiūris, apjungiantis prevencines priemones ir iniciatyvias strategijas. Štai keletas veiksmingų duomenų apsaugos būdų:

Reguliarios atsarginės kopijos: reguliariai kurkite atsargines svarbių failų ir duomenų kopijas išoriniame saugojimo įrenginyje arba saugioje debesies paslaugoje. Įsitikinkite, kad jūsų atsarginės kopijos yra saugomos neprisijungus arba atskiroje vietoje nuo pagrindinių sistemų, kad jų neužšifruotų išpirkos reikalaujančios programos.

Atnaujinkite programinę įrangą: atnaujinkite operacinę sistemą, antivirusinę programinę įrangą ir visas kitas programas naudodami naujausius saugos pataisymus ir naujinimus. Ransomware dažnai išnaudoja žinomus pasenusios programinės įrangos pažeidžiamumus, todėl savalaikiai atnaujinimai gali padėti išvengti infekcijų.

Naudokite antivirusinę / kenkėjiškų programų programinę įrangą: visuose įrenginiuose įdiekite patikimą antivirusinę ar kenkėjiškų programų programinę įrangą ir nuolat ją atnaujinkite. Šios programos gali aptikti ir pašalinti išpirkos reikalaujančias programas prieš užšifruodamos jūsų failus.

Įgalinti ugniasienę: suaktyvinkite ir tinkamai sukonfigūruokite tinklo ugniasienes, kad galėtumėte stebėti ir valdyti gaunamą ir išeinantį srautą. Ugniasienės gali blokuoti neteisėtos prieigos bandymus ir padėti išvengti išpirkos reikalaujančios programinės įrangos įsiskverbimo į jūsų sistemas.

Apriboti naudotojo leidimus: apribokite naudotojo leidimus iki to, kas būtina jų vaidmenims. Tai gali užkirsti kelią išpirkos reikalaujančių programų plitimui jūsų tinkle, nes apribojama kenkėjiškos programinės įrangos galimybė pasiekti ir užšifruoti failus.

Stebėkite tinklo veiklą: naudokite tinklo stebėjimo įrankius, kad stebėtumėte ir analizuotumėte tinklo srautą, ar nėra įtartinos veiklos ar neteisėtos prieigos požymių. Ankstyvas aptikimas gali padėti išvengti išpirkos reikalaujančių programų plitimo ir didelės žalos.

Įdiekite el. pašto filtravimą: įdiekite el. pašto filtravimo sprendimus, kad automatiškai aptiktumėte ir karantinuotų sukčiavimo el. laiškus ir kenkėjiškus priedus, kol jie pasiekia vartotojų gautuosius. Tai gali žymiai sumažinti riziką užsikrėsti išpirkos programomis el. paštu.