XDec 勒索软件
在恶意软件分析过程中,研究人员发现了构成重大威胁的 xDec 勒索软件。这种有害软件会加密目标设备上的文件,使其所有者无法访问和使用。作为其操作的一部分,xDec 勒索软件会更改加密文件的原始文件名,并生成两个名为“info.txt”和“info.hta”的勒索信。此外,它还会将特定标识符(包括受害者的 ID、电子邮件地址(“x-decrypt@worker.com”)和扩展名“.xDec”附加到文件名中。例如,最初名为“1.pdf”的文件将转换为“1.pdf.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec”,而“2.jpg”将变为“2.jpg.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec”,依此类推。
安全专家已将 xDec 勒索软件确定为与Pho b os 勒索软件家族相关的变种,表明其分发和运营背后可能存在有组织且持久的威胁行为者。
xDec 勒索软件使受害者无法访问自己的文件
与 xDec 勒索软件相关的勒索信为受害者提供了有关文件加密以及恢复所需步骤的详细说明和警告。它首先通知受害者,由于计算机系统存在安全漏洞,他们的文件已被加密。它提供了一个电子邮件地址“x-decrypt@worker.com”,受害者可以联系该地址以启动文件恢复过程。该信规定受害者必须在电子邮件的主题行中包含一个唯一 ID。
如果受害者在 24 小时内没有收到回复,该通知会建议他们联系另一个电子邮件地址“x-decrypt@hackermail.com”。解密服务的付款仅接受比特币,赎金金额取决于受害者与攻击者联系的及时性。
为了缓解担忧,该通知提供最多三个文件的免费解密服务,但对文件大小和内容有一定的限制。它强烈建议不要重命名加密文件或使用第三方解密软件,警告这些操作可能会导致不可逆转的数据丢失或赎金金额增加。此外,该通知还警告不要使用第三方解密服务,因为它们可能会抬高成本或从事欺诈活动。
除了文件加密之外,xDec 勒索软件还通过禁用防火墙并使系统容易受到进一步恶意活动的攻击,构成多方面威胁。它会系统地消除卷影副本,阻碍潜在的文件恢复工作。此外,xDec 还能够收集位置数据并利用持久性机制,从而可以策略性地逃避某些安全措施。
增强设备和数据的安全性,抵御勒索软件威胁
要增强设备和数据对勒索软件威胁的安全性,需要实施综合方法,结合预防措施、主动监控和响应措施。以下是用户可以采取的一些关键步骤:
- 保持软件更新:定期更新操作系统、软件应用程序和反恶意软件程序,以修补漏洞并防范已知漏洞。许多勒索软件攻击都利用了过时的软件。
- 使用强密码:为所有账户(包括电子邮件、社交媒体和网上银行)设置唯一密码。考虑使用密码管理器安全地创建和存储强密码的好处。
- 启用双因素身份验证 (2FA) :尽可能实施 2FA,为账户增加一层安全保护。这样可以确保即使密码被破坏,也需要额外的验证步骤才能访问。
- 对电子邮件附件和链接格外谨慎:警惕未经请求的电子邮件,尤其是那些包含来自未知发件人的附件或链接的电子邮件。避免点击可疑链接或下载可疑或意外的电子邮件附件。
- 定期备份数据:定期将基本文件和数据备份到独立的存储设备或云服务中。确保这些备份安全保存,并且无法直接从网络访问,以防止它们在勒索软件攻击中被破坏。
- 实施网络安全措施:使用防火墙、入侵检测系统 (IDS) 和入侵防御系统 (IPS) 来监控和过滤网络流量中的可疑活动。对网络进行分段,以在发生违规时限制勒索软件的传播。
- 教育用户:提供培训和意识计划,教育用户了解勒索软件的风险以及如何识别潜在威胁。教他们识别网络钓鱼电子邮件、可疑链接和网络犯罪分子使用的其他常见策略。
通过遵循这些措施,用户可以显著增强其设备和数据的安全性,降低成为勒索软件攻击的受害者的可能性。
xDec 勒索软件的主要勒索信息如下:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsYou can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
