XDec 랜섬웨어

맬웨어 분석 중에 연구원들은 심각한 위협을 가하는 xDec 랜섬웨어를 발견했습니다. 이 유해한 소프트웨어는 대상 장치의 파일을 암호화하여 소유자가 해당 파일에 액세스하거나 사용할 수 없도록 만듭니다. xDec 랜섬웨어는 작업의 일환으로 암호화된 파일의 원래 파일 이름을 변경하고 'info.txt' 및 'info.hta'라는 두 개의 랜섬 노트를 생성합니다. 또한 파일 이름에 피해자 ID, 이메일 주소('x-decrypt@worker.com'), 확장자 '.xDec' 등 특정 식별자를 추가합니다. 예를 들어 원래 이름이 '1.pdf'인 파일은 '1.pdf.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec'로 변환되고 '2.jpg'는 ' 2.jpg.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec' 등입니다.

보안 전문가들은 xDec 랜섬웨어를 Pho b os 랜섬웨어 제품군과 관련된 변종으로 식별했습니다. 이는 배포 및 운영 뒤에 잠재적으로 조직적이고 지속적인 위협 행위자가 있음을 나타냅니다.

xDec 랜섬웨어로 인해 피해자가 자신의 파일에 액세스할 수 없게 됨

xDec 랜섬웨어와 관련된 랜섬 노트는 피해자에게 파일 암호화 및 잠재적 복원에 필요한 단계에 관한 자세한 지침과 경고를 제공합니다. 피해자에게 컴퓨터 시스템의 보안 결함으로 인해 파일이 암호화되었음을 알리는 것부터 시작됩니다. 피해자가 파일 복구 프로세스를 시작하기 위해 연락할 수 있는 이메일 주소 'x-decrypt@worker.com'을 제공합니다. 이 메모에는 피해자가 이메일 제목 줄에 고유 ID를 포함해야 한다고 명시되어 있습니다.

피해자가 24시간 이내에 답변을 받지 못할 경우, 대체 이메일 주소인 'x-decrypt@hackermail.com'으로 연락하라고 안내했습니다. 암호 해독 서비스에 대한 지불은 비트코인으로만 허용되며 몸값 금액은 피해자가 공격자와 접촉한 신속성에 따라 달라집니다.

우려를 완화하기 위해 이 노트는 파일 크기와 내용에 대한 특정 제한이 있지만 무료로 최대 3개 파일의 암호 해독을 제공합니다. 암호화된 파일의 이름을 바꾸거나 타사 암호 해독 소프트웨어를 사용하지 말 것을 강력히 권고하며, 이러한 작업으로 인해 되돌릴 수 없는 데이터 손실이 발생하거나 몸값이 상승할 수 있음을 경고합니다. 또한 이 메모는 비용을 부풀리거나 사기 행위에 연루될 수 있으므로 제3자 암호 해독 서비스를 이용하는 것에 대해 경고합니다.

파일 암호화 외에도 xDec 랜섬웨어는 방화벽을 비활성화하고 시스템을 추가 악성 활동에 취약하게 만들어 다면적인 위협을 가합니다. 섀도우 볼륨 복사본을 체계적으로 제거하여 잠재적인 파일 복구 노력을 방해합니다. 또한 xDec에는 위치 데이터를 수집하고 지속성 메커니즘을 활용하여 특정 보안 조치를 전략적으로 회피할 수 있는 기능이 있습니다.

랜섬웨어 위협으로부터 장치와 데이터의 보안을 강화하세요

랜섬웨어 위협으로부터 장치 및 데이터의 보안을 강화하려면 예방 조치, 사전 모니터링 및 대응 조치를 결합한 포괄적인 접근 방식을 구현해야 합니다. 사용자가 취할 수 있는 몇 가지 주요 단계는 다음과 같습니다.

• 소프트웨어 업데이트 유지 : 운영 체제, 소프트웨어 애플리케이션 및 맬웨어 방지 프로그램을 정기적으로 업데이트하여 취약점을 패치하고 알려진 악용으로부터 보호합니다. 많은 랜섬웨어 공격은 오래된 소프트웨어를 악용합니다.
• 강력한 비밀번호 사용: 이메일, 소셜 미디어, 온라인 뱅킹을 포함한 모든 계정에 고유한 비밀번호를 만드세요 . 강력한 비밀번호를 안전하게 구축하고 저장하기 위해 비밀번호 관리자를 사용하면 어떤 이점이 있는지 생각해 보세요.
• 2FA(2단계 인증) 활성화 : 가능한 경우 2FA를 구현하여 계정에 추가 보안 계층 역할을 합니다. 이렇게 하면 비밀번호가 손상되더라도 액세스하려면 추가 확인 단계가 필요합니다.
• 이메일 첨부 파일 및 링크에 특히 주의하십시오 . 원치 않는 이메일, 특히 알 수 없는 발신자가 보낸 첨부 파일이나 링크가 포함된 이메일을 주의하세요. 의심스럽거나 예상치 못한 것으로 보이는 이메일에서 의심스러운 링크를 클릭하거나 첨부 파일을 다운로드하지 마세요.
• 정기적으로 데이터 백업 : 기본 파일 및 데이터를 분리된 저장 장치 또는 클라우드 서비스에 정기적으로 백업합니다. 랜섬웨어 공격으로 인해 백업이 손상되는 것을 방지하려면 이러한 백업이 안전하게 보관되고 네트워크에서 직접 액세스할 수 없도록 하십시오.
• 네트워크 보안 조치 구현 : 방화벽, 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)을 사용하여 의심스러운 활동이 있는지 네트워크 트래픽을 모니터링하고 필터링합니다. 침해가 발생할 경우 랜섬웨어의 확산을 제한하기 위해 네트워크를 분할하십시오.
• 사용자 교육 : 사용자에게 랜섬웨어의 위험과 잠재적 위협 식별 방법을 교육하는 교육 및 인식 프로그램을 제공합니다. 피싱 이메일, 의심스러운 링크, 사이버 범죄자가 사용하는 기타 일반적인 전술을 인식하는 방법을 가르치십시오.

이러한 조치를 따르면 사용자는 장치와 데이터의 보안을 크게 강화하여 랜섬웨어 공격의 피해자가 될 가능성을 줄일 수 있습니다.

xDec 랜섬웨어의 주요 랜섬노트는 다음과 같은 요구 사항을 제공합니다:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

You can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'