Программа-вымогатель xDec блокирует диски жертвы

При изучении новых образцов вредоносного ПО мы наткнулись на xDec — тип программы-вымогателя, связанный с семейством Phobos. Это вредоносное программное обеспечение шифрует файлы, изменяет их имена и отображает две записки о выкупе с именами «info.txt» и «info.hta». Кроме того, программа-вымогатель xDec добавляет к именам файлов идентификатор жертвы, адрес электронной почты и расширение «.xDec».

Например, он меняет «1.jpg» на «1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec», «2.png» на «2.png.id[9ECFA84E». -3449].[x-decrypt@worker.com].xDec» и так далее. Записка о выкупе уведомляет жертву о том, что ее файлы были зашифрованы из-за проблемы безопасности на ее компьютере. Он предоставляет адрес электронной почты x-decrypt@worker.com, с которым жертва может связаться, чтобы начать процесс восстановления файлов. В примечании указано, что жертва должна указать конкретный идентификатор в теме своего сообщения.

Если ответа не будет в течение 24 часов, жертве будет предложено связаться с другим адресом электронной почты: x-decrypt@hackermail.com. В примечании поясняется, что оплата за расшифровку должна производиться в биткойнах, а стоимость расшифровки варьируется в зависимости от того, насколько быстро жертва связывается с злоумышленниками.

Чтобы успокоить жертву, в записке предлагается бесплатная расшифровка до трех файлов с конкретными ограничениями на размер и содержание файлов. Он предостерегает от переименования зашифрованных файлов или попыток их расшифровки с помощью стороннего программного обеспечения, поскольку это может привести к безвозвратной потере данных или увеличению стоимости расшифровки.

xDec Примечания о выкупе в полном объеме

Краткая версия записки о выкупе, созданной внутри «info.txt», выглядит следующим образом:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com

Полная версия заметки во всплывающем окне выглядит следующим образом:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

You can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Как лучше всего защитить свои данные от программ-вымогателей?

Защита ваших данных от программ-вымогателей требует многоуровневого подхода, сочетающего в себе как превентивные меры, так и упреждающие стратегии. Вот несколько эффективных способов защитить ваши данные:

Регулярное резервное копирование. Регулярно создавайте резервные копии важных файлов и данных на внешнем устройстве хранения или в безопасном облачном сервисе. Убедитесь, что ваши резервные копии хранятся в автономном режиме или в отдельном месте от ваших основных систем, чтобы предотвратить их шифрование программами-вымогателями.

Обновляйте программное обеспечение: обновляйте свою операционную систему, антивирусное программное обеспечение и все другие приложения с помощью последних исправлений и обновлений безопасности. Программы-вымогатели часто используют известные уязвимости в устаревшем программном обеспечении, поэтому своевременные обновления могут помочь предотвратить заражение.

Используйте антивирусное или антивирусное программное обеспечение: установите надежное антивирусное или антивирусное программное обеспечение на все свои устройства и регулярно обновляйте его. Эти программы могут обнаружить и удалить программы-вымогатели до того, как они смогут зашифровать ваши файлы.

Включить брандмауэр: активируйте и правильно настройте брандмауэры в вашей сети для мониторинга и контроля входящего и исходящего трафика. Брандмауэры могут блокировать попытки несанкционированного доступа и помочь предотвратить проникновение программ-вымогателей в ваши системы.

Ограничить разрешения пользователей. Ограничьте права пользователей только тем, что необходимо для их ролей. Это может предотвратить распространение программ-вымогателей по вашей сети, ограничив возможность вредоносного программного обеспечения получать доступ к файлам и шифровать их.

Мониторинг сетевой активности: используйте инструменты сетевого мониторинга для отслеживания и анализа сетевого трафика на предмет любых признаков подозрительной активности или несанкционированного доступа. Раннее обнаружение может помочь предотвратить распространение программ-вымогателей и причинение значительного ущерба.

Развертывание фильтрации электронной почты. Внедрите решения для фильтрации электронной почты, чтобы автоматически обнаруживать и помещать в карантин фишинговые электронные письма и вредоносные вложения до того, как они попадут в почтовые ящики пользователей. Это может значительно снизить риск заражения программами-вымогателями по электронной почте.