XDec Ransomware vergrendelt de schijven van slachtoffers

Bij het onderzoeken van nieuwe malwaremonsters kwamen we xDec tegen, een type ransomware dat verband houdt met de Phobos-familie. Deze kwaadaardige software versleutelt bestanden, wijzigt hun bestandsnamen en geeft twee losgeldbriefjes weer met de namen "info.txt" en "info.hta". Bovendien voegt de xDec-ransomware de ID van het slachtoffer, een e-mailadres en de extensie ".xDec" toe aan de bestandsnamen.

Het verandert bijvoorbeeld "1.jpg" in "1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec", "2.png" in "2.png.id[9ECFA84E -3449].[x-decrypt@worker.com].xDec", enzovoort. Het losgeldbriefje informeert het slachtoffer dat hun bestanden zijn gecodeerd vanwege een beveiligingsprobleem met hun computer. Het bevat het e-mailadres x-decrypt@worker.com waarmee het slachtoffer contact kan opnemen om het proces van bestandsherstel te starten. In de notitie wordt gespecificeerd dat het slachtoffer een specifieke ID in de onderwerpregel van zijn bericht moet opnemen.

Als er binnen 24 uur geen reactie is, wordt het slachtoffer geïnstrueerd contact op te nemen met een ander e-mailadres, x-decrypt@hackermail.com. In de notitie wordt uitgelegd dat de betaling voor de decodering in Bitcoins moet worden gedaan en dat de decoderingskosten variëren afhankelijk van hoe snel het slachtoffer contact opneemt met de aanvallers.

Om het slachtoffer gerust te stellen, biedt de notitie gratis decodering van maximaal drie bestanden, met specifieke beperkingen op de bestandsgrootte en inhoud. Het waarschuwt tegen het hernoemen van gecodeerde bestanden of het proberen te decoderen met software van derden, omdat dit kan leiden tot permanent gegevensverlies of een verhoging van de decoderingskosten.

xDec losgeldnota's volledig

De korte versie van de losgeldbrief die in "info.txt" is gegenereerd, luidt als volgt:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com

De volledigere versie van de notitie in het pop-upvenster gaat als volgt:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

You can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hoe kunt u uw gegevens het beste beschermen tegen ransomware?

Het beschermen van uw gegevens tegen ransomware vereist een meerlaagse aanpak die zowel preventieve maatregelen als proactieve strategieën combineert. Hier zijn enkele effectieve manieren om uw gegevens te beschermen:

Regelmatige back-ups: maak regelmatig een back-up van uw belangrijke bestanden en gegevens naar een extern opslagapparaat of een veilige cloudservice. Zorg ervoor dat uw back-ups offline of op een andere locatie dan uw hoofdsystemen worden opgeslagen om te voorkomen dat ze door ransomware worden versleuteld.

Update software: Houd uw besturingssysteem, antivirussoftware en alle andere applicaties up-to-date met de nieuwste beveiligingspatches en updates. Ransomware maakt vaak misbruik van bekende kwetsbaarheden in verouderde software, dus tijdige updates kunnen infecties helpen voorkomen.

Gebruik antivirus-/antimalwaresoftware: Installeer betrouwbare antivirus- of antimalwaresoftware op al uw apparaten en houd deze up-to-date. Deze programma's kunnen ransomware detecteren en verwijderen voordat uw bestanden kunnen worden gecodeerd.

Firewall inschakelen: Activeer en configureer firewalls op uw netwerk op de juiste manier om inkomend en uitgaand verkeer te controleren en te controleren. Firewalls kunnen ongeautoriseerde toegangspogingen blokkeren en helpen voorkomen dat ransomware uw systemen infiltreert.

Beperk gebruikersmachtigingen: Beperk gebruikersmachtigingen tot alleen wat nodig is voor hun rollen. Dit kan voorkomen dat ransomware zich over uw netwerk verspreidt door de mogelijkheid van schadelijke software om bestanden te openen en te versleutelen te beperken.

Netwerkactiviteit monitoren: gebruik netwerkbewakingstools om netwerkverkeer te volgen en te analyseren op tekenen van verdachte activiteit of ongeautoriseerde toegang. Vroegtijdige detectie kan helpen voorkomen dat ransomware zich verspreidt en grote schade aanricht.

E-mailfiltering implementeren: Implementeer e-mailfilteroplossingen om phishing-e-mails en kwaadaardige bijlagen automatisch te detecteren en in quarantaine te plaatsen voordat ze de inbox van gebruikers bereiken. Dit kan het risico op ransomware-infecties via e-mail aanzienlijk verminderen.