XDec 勒索软件锁定受害者驱动器
在检查新的恶意软件样本时,我们发现了 xDec,这是一种与 Phobos 家族有关的勒索软件。该恶意软件会加密文件、更改文件名,并显示两个名为“info.txt”和“info.hta”的勒索信。此外,xDec 勒索软件还会将受害者的 ID、电子邮件地址和“.xDec”扩展名附加到文件名中。
例如,它将“1.jpg”更改为“1.jpg.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec”,将“2.png”更改为“2.png.id[9ECFA84E-3449].[x-decrypt@worker.com].xDec”,等等。勒索信会通知受害者,由于计算机的安全问题,他们的文件已被加密。它提供了电子邮件地址 x-decrypt@worker.com,供受害者联系以开始文件恢复过程。该信指定受害者应在其邮件的主题行中包含特定 ID。
如果 24 小时内没有回复,受害者将被指示联系另一个电子邮件地址 x-decrypt@hackermail.com。说明中解释说,解密费用必须以比特币支付,解密费用取决于受害者联系攻击者的速度。
为了让受害者放心,该通知提供最多三个文件的免费解密服务,但对文件大小和内容有具体限制。通知警告不要重命名加密文件或尝试使用第三方软件解密,因为这样做可能会导致永久性数据丢失或增加解密成本。
xDec 赎金记录全文
“info.txt”中生成的勒索信的简短版本如下:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: x-decrypt@worker.com.
If we don't answer in 24h., send e-mail to this address: x-decrypt@hackermail.com
弹出窗口内的完整说明如下:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsYou can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
如何最好地保护您的数据免遭勒索软件的攻击?
保护您的数据免遭勒索软件攻击需要采取多层次的方法,既结合预防措施,又结合主动策略。以下是一些保护数据的有效方法:
定期备份:定期将重要文件和数据备份到外部存储设备或安全云服务。确保备份以离线方式存储或存储在与主系统不同的位置,以防止被勒索软件加密。
更新软件:使用最新的安全补丁和更新,确保您的操作系统、防病毒软件和所有其他应用程序保持最新状态。勒索软件经常利用过时软件中的已知漏洞,因此及时更新有助于防止感染。
使用防病毒/反恶意软件:在所有设备上安装信誉良好的防病毒或反恶意软件并保持更新。这些程序可以在勒索软件加密您的文件之前检测并删除它。
启用防火墙:激活并正确配置网络上的防火墙,以监控和控制传入和传出流量。防火墙可以阻止未经授权的访问尝试,并有助于防止勒索软件渗透到您的系统中。
限制用户权限:将用户权限限制为其角色所需的权限。通过限制恶意软件访问和加密文件的能力,可以防止勒索软件在您的网络中传播。
监控网络活动:使用网络监控工具跟踪和分析网络流量,以查找任何可疑活动或未经授权访问的迹象。早期检测有助于防止勒索软件传播并造成广泛破坏。
部署电子邮件过滤:实施电子邮件过滤解决方案,在钓鱼电子邮件和恶意附件到达用户收件箱之前自动检测并隔离它们。这可以大大降低通过电子邮件感染勒索软件的风险。
