XDec 勒索軟體
在惡意軟體分析過程中,研究人員遇到了 xDec 勒索軟體,該軟體構成了重大威脅。這種有害軟體會對目標裝置上的檔案進行加密,使其擁有者無法存取和使用這些檔案。作為其操作的一部分,xDec 勒索軟體會更改加密檔案的原始檔案名,並產生兩個名為「info.txt」和「info.hta」的勒索字條。此外,它還會在檔案名稱中附加特定標識符,包括受害者的 ID、電子郵件地址(「x-decrypt@worker.com」)和副檔名「.xDec」。例如,最初名為“1.pdf”的檔案將轉換為“1.pdf.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec”,而“2.jpg”將轉換為“ 2.jpg.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec,'等等。
安全專家已將 xDec 勒索軟體識別為與Pho b os 勒索軟體系列相關的變體,表明其分發和操作背後可能存在有組織且持續的威脅行為者。
xDec 勒索軟體使受害者無法存取自己的文件
與 xDec 勒索軟體相關的勒索字條向受害者提供了有關文件加密以及潛在恢復所需步驟的詳細說明和警告。首先通知受害者,由於電腦系統有安全缺陷,他們的文件已被加密。它提供了一個電子郵件地址“x-decrypt@worker.com”,供受害者聯繫以啟動文件恢復過程。此註解指定受害者必須在其電子郵件的主題行中包含唯一的 ID。
如果受害者在 24 小時內沒有收到回复,該說明建議他們聯繫另一個電子郵件地址「x-decrypt@hackermail.com」。解密服務的付款僅接受比特幣,贖金金額取決於受害者與攻擊者聯繫的及時性。
為了緩解擔憂,該說明免費提供最多三個檔案的解密,儘管對檔案大小和內容有一定的限制。它強烈建議不要重新命名加密檔案或使用第三方解密軟體,並警告這些行為可能會導致不可逆轉的資料遺失或贖金金額增加。此外,該說明警告不要使用第三方解密服務,因為它們可能會增加成本或參與詐欺活動。
除了檔案加密之外,xDec 勒索軟體還透過停用防火牆並使系統容易受到進一步惡意活動的攻擊,從而構成多方面的威脅。它系統地消除了影子卷副本,從而阻礙了潛在的文件恢復工作。此外,xDec 能夠收集位置資料並利用持久性機制,使其能夠策略性地規避某些安全措施。
提高設備和資料的安全性,抵禦勒索軟體威脅
提高設備和資料的安全性以抵禦勒索軟體威脅需要實施一種綜合方法,該方法結合了預防措施、主動監控和回應行動。以下是用戶可以採取的一些關鍵步驟:
- 保持軟體更新:定期更新作業系統、軟體應用程式和反惡意軟體程序,以修補漏洞並防範已知的漏洞。許多勒索軟體攻擊都利用過時的軟體。
- 使用強密碼:為您的所有帳戶(包括電子郵件、社群媒體和網路銀行)建立唯一的密碼。考慮使用密碼管理器安全地建立和儲存強密碼的好處。
- 啟用雙重認證 (2FA) :盡可能實施 2FA,作為帳戶的附加安全層。這確保即使密碼被破壞,存取也需要額外的驗證步驟。
- 對電子郵件附件和連結格外小心:警惕未經請求的電子郵件,尤其是包含來自未知寄件者的附件或連結的電子郵件。避免點擊可疑連結或從看起來可疑或意外的電子郵件下載附件。
- 定期備份資料:定期將基本文件和資料備份到獨立的儲存設備或雲端服務。確保這些備份得到安全保存,並且無法直接從網路訪問,以防止它們在勒索軟體攻擊中被損壞。
- 實施網路安全措施:使用防火牆、入侵偵測系統 (IDS) 和入侵防禦系統 (IPS) 來監控和過濾網路流量中的可疑活動。將您的網路分段,以便在發生漏洞時限制勒索軟體的傳播。
- 教育使用者:提供培訓和意識計劃,教育使用者了解勒索軟體的風險以及如何識別潛在威脅。教導他們識別網路釣魚電子郵件、可疑連結以及其他網路犯罪分子使用的常見策略。
透過採取這些措施,使用者可以顯著增強其設備和資料的安全性,降低成為勒索軟體攻擊受害者的可能性。
xDec 勒索軟體的主要勒索字條提出了以下要求:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsYou can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
