XDec Ransomware bloqueia unidades de vítimas

Ao examinar novas amostras de malware, encontramos o xDec, um tipo de ransomware ligado à família Phobos. Este software malicioso encripta ficheiros, altera os seus nomes e exibe duas notas de resgate denominadas "info.txt" e "info.hta". Além disso, o ransomware xDec anexa o ID da vítima, um endereço de e-mail e a extensão ".xDec" aos nomes dos arquivos.

Por exemplo, muda "1.jpg" para "1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec", "2.png" para "2.png.id[9ECFA84E -3449].[x-decrypt@worker.com].xDec" e assim por diante. A nota de resgate notifica a vítima de que seus arquivos foram criptografados devido a um problema de segurança no computador. Ele fornece o endereço de e-mail x-decrypt@worker.com para a vítima entrar em contato para iniciar o processo de restauração do arquivo. A nota especifica que a vítima deve incluir uma identificação específica na linha de assunto da mensagem.

Se não houver resposta dentro de 24 horas, a vítima é instruída a entrar em contato com outro endereço de e-mail, x-decrypt@hackermail.com. A nota explica que o pagamento pela descriptografia deve ser feito em Bitcoins e que o custo da descriptografia varia dependendo da rapidez com que a vítima entra em contato com os invasores.

Para tranquilizar a vítima, a nota oferece descriptografia gratuita de até três arquivos, com restrições específicas de tamanho e conteúdo dos arquivos. Ele alerta contra renomear arquivos criptografados ou tentar descriptografá-los usando software de terceiros, pois isso pode levar à perda permanente de dados ou a um aumento no custo de descriptografia.

Notas de resgate xDec completas

A versão resumida da nota de resgate gerada dentro de "info.txt" é a seguinte:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com

A versão mais completa da nota dentro da janela pop-up é a seguinte:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

You can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Qual a melhor forma de proteger seus dados contra ransomware?

Proteger seus dados contra ransomware requer uma abordagem em várias camadas que combine medidas preventivas e estratégias proativas. Aqui estão algumas maneiras eficazes de proteger seus dados:

Backups regulares: faça backup regularmente de seus arquivos e dados importantes em um dispositivo de armazenamento externo ou em um serviço de nuvem seguro. Certifique-se de que seus backups sejam armazenados off-line ou em um local separado dos sistemas principais para evitar que sejam criptografados por ransomware.

Atualizar software: mantenha seu sistema operacional, software antivírus e todos os outros aplicativos atualizados com os patches e atualizações de segurança mais recentes. O ransomware geralmente explora vulnerabilidades conhecidas em software desatualizado, portanto, atualizações oportunas podem ajudar a prevenir infecções.

Use software antivírus/antimalware: instale software antivírus ou antimalware confiável em todos os seus dispositivos e mantenha-os atualizados. Esses programas podem detectar e remover ransomware antes que ele criptografe seus arquivos.

Habilitar Firewall: Ative e configure adequadamente firewalls em sua rede para monitorar e controlar o tráfego de entrada e saída. Os firewalls podem bloquear tentativas de acesso não autorizado e ajudar a impedir que ransomware se infiltre em seus sistemas.

Restringir permissões de usuário: limite as permissões de usuário apenas ao necessário para suas funções. Isso pode impedir que o ransomware se espalhe pela sua rede, restringindo a capacidade de software malicioso de acessar e criptografar arquivos.

Monitore a atividade da rede: use ferramentas de monitoramento de rede para rastrear e analisar o tráfego da rede em busca de sinais de atividade suspeita ou acesso não autorizado. A detecção precoce pode ajudar a evitar que o ransomware se espalhe e cause danos extensos.

Implante filtragem de e-mail: implemente soluções de filtragem de e-mail para detectar e colocar em quarentena automaticamente e-mails de phishing e anexos maliciosos antes que eles cheguem às caixas de entrada dos usuários. Isso pode reduzir significativamente o risco de infecções por ransomware por e-mail.