باج افزار xDec
در طول تجزیه و تحلیل بدافزار، محققان با باجافزار xDec مواجه شدند که تهدیدی قابل توجه است. این نرمافزار مضر فایلها را روی دستگاههای هدف رمزگذاری میکند و آنها را غیرقابل دسترس و غیرقابل استفاده برای صاحبانشان میکند. به عنوان بخشی از عملکرد خود، باج افزار xDec نام فایل های اصلی فایل های رمزگذاری شده را تغییر می دهد و دو یادداشت باج به نام های "info.txt" و "info.hta" تولید می کند. علاوه بر این، شناسههای خاصی از جمله شناسه قربانی، آدرس ایمیل ('x-decrypt@worker.com') و پسوند '.xDec' را به نام فایلها اضافه میکند. برای مثال، فایلی با نام اصلی «1.pdf» به «1.pdf.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec» تبدیل میشود، در حالی که «2.jpg» به « 2.jpg.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec' و غیره.
کارشناسان امنیتی باجافزار xDec را بهعنوان گونهای مرتبط با خانواده باجافزار Phob os شناسایی کردهاند که نشاندهنده یک عامل تهدید بالقوه سازمانیافته و پایدار در پس توزیع و عملکرد آن است.
باجافزار xDec باعث میشود قربانیان نتوانند به فایلهای خود دسترسی پیدا کنند
یادداشت باج مربوط به باجافزار xDec دستورالعملها و هشدارهای دقیقی را در مورد رمزگذاری فایلهای قربانیان و مراحل لازم برای بازیابی احتمالی به قربانیان ارائه میدهد. با اطلاع رسانی به قربانیان مبنی بر اینکه فایل های آنها به دلیل نقص امنیتی در سیستم کامپیوتری آنها رمزگذاری شده است، شروع می شود. این یک آدرس ایمیل، "x-decrypt@worker.com" را برای قربانیان فراهم می کند تا بتوانند روند بازیابی فایل را شروع کنند. یادداشت مشخص می کند که قربانیان باید یک شناسه منحصر به فرد را در موضوع ایمیل خود وارد کنند.
در صورتی که قربانیان ظرف 24 ساعت پاسخی دریافت نکنند، یادداشت به آنها توصیه میکند که با یک آدرس ایمیل جایگزین، "x-decrypt@hackermail.com" تماس بگیرند. پرداخت خدمات رمزگشایی منحصراً در بیت کوین پذیرفته می شود و مبلغ باج به تماس سریع قربانی با مهاجمان بستگی دارد.
برای کاهش نگرانیها، یادداشت رمزگشایی حداکثر سه فایل را بدون پرداخت هزینه ارائه میکند، البته با محدودیتهای خاصی در اندازه و محتوای فایل. اکیداً توصیه میکند از تغییر نام فایلهای رمزگذاریشده یا استفاده از نرمافزار رمزگشایی شخص ثالث خودداری کنید، هشدار میدهد که این اقدامات میتواند منجر به از دست دادن غیرقابل برگشت داده یا افزایش مبلغ باج شود. علاوه بر این، یادداشت نسبت به درگیر شدن با خدمات رمزگشایی شخص ثالث هشدار می دهد، زیرا ممکن است هزینه ها را افزایش دهد یا در فعالیت های کلاهبرداری شرکت کنند.
فراتر از رمزگذاری فایل، باجافزار xDec با غیرفعال کردن فایروالها و آسیبپذیر کردن سیستمها در برابر فعالیتهای مخرب بیشتر، تهدیدی چندوجهی است. این به طور سیستماتیک کپی های حجم سایه را حذف می کند و مانع از تلاش های بالقوه بازیابی فایل می شود. علاوه بر این، xDec توانایی جمعآوری دادههای مکان و استفاده از مکانیسمهای پایدار را دارد که به آن اجازه میدهد از برخی اقدامات امنیتی بهطور استراتژیک فرار کند.
امنیت دستگاه ها و داده های خود را در برابر تهدیدات باج افزار افزایش دهید
تقویت امنیت دستگاه ها و داده ها در برابر تهدیدات باج افزار مستلزم اجرای یک رویکرد جامع است که اقدامات پیشگیرانه، نظارت پیشگیرانه و اقدامات پاسخگو را ترکیب می کند. در اینجا چند مرحله کلیدی وجود دارد که کاربران می توانند انجام دهند:
- نرم افزار را به روز نگه دارید : سیستم عامل ها، برنامه های نرم افزاری و برنامه های ضد بدافزار را به طور منظم به روز کنید تا آسیب پذیری ها را اصلاح کنید و در برابر سوء استفاده های شناخته شده محافظت کنید. بسیاری از حملات باج افزار از نرم افزارهای قدیمی سوء استفاده می کنند.
- از گذرواژههای قوی استفاده کنید: برای همه حسابهای خود، از جمله ایمیل، رسانههای اجتماعی و بانکداری آنلاین، گذرواژههای منحصربهفرد بسازید . به مزایای استفاده از مدیر رمز عبور برای ایجاد و ذخیره ایمن رمزهای عبور قوی فکر کنید.
- فعال کردن احراز هویت دو مرحله ای (2FA) : 2FA را تا جایی که ممکن است پیاده سازی کنید تا به عنوان یک لایه امنیتی اضافی برای حساب ها عمل کنید. این تضمین می کند که حتی اگر رمز عبور خراب باشد، یک مرحله تأیید اضافی برای دسترسی لازم است.
- در مورد پیوستها و پیوندهای ایمیل بسیار محتاط باشید : مراقب ایمیلهای ناخواسته، بهویژه ایمیلهایی که حاوی پیوستها یا پیوندهایی از فرستندگان ناشناس هستند، باشید. از کلیک بر روی لینک های مشکوک یا دانلود پیوست ها از ایمیل هایی که مشکوک یا غیرمنتظره به نظر می رسند خودداری کنید.
- پشتیبانگیری منظم از دادهها : به طور منظم از فایلها و دادههای اساسی در یک دستگاه ذخیرهسازی جدا یا سرویس ابری نسخه پشتیبان تهیه کنید. اطمینان حاصل کنید که این نسخه های پشتیبان به طور ایمن نگهداری می شوند و مستقیماً از شبکه قابل دسترسی نیستند تا از خراب شدن آنها در یک حمله باج افزار جلوگیری شود.
- پیاده سازی اقدامات امنیتی شبکه : از فایروال ها، سیستم های تشخیص نفوذ (IDS) و سیستم های پیشگیری از نفوذ (IPS) برای نظارت و فیلتر کردن ترافیک شبکه برای فعالیت های مشکوک استفاده کنید. شبکههای خود را برای محدود کردن گسترش باجافزار در صورت رخنه، بخشبندی کنید.
- آموزش کاربران : برنامههای آموزشی و آگاهیبخشی را برای آموزش کاربران در مورد خطرات باجافزار و نحوه شناسایی تهدیدهای بالقوه ارائه دهید. به آنها بیاموزید ایمیل های فیشینگ، لینک های مشکوک و دیگر تاکتیک های رایج مورد استفاده توسط مجرمان سایبری را تشخیص دهند.
با پیروی از این اقدامات، کاربران می توانند به طور قابل توجهی امنیت دستگاه ها و داده های خود را افزایش دهند و امکان قربانی شدن در حملات باج افزار را کاهش دهند.
باج اصلی باج افزار xDec خواسته های زیر را ارائه می دهد:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsYou can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'