XDec ランサムウェア
マルウェア分析中に、研究者は重大な脅威となる xDec ランサムウェアに遭遇しました。この有害なソフトウェアは、標的のデバイス上のファイルを暗号化し、所有者がアクセスおよび使用できない状態にします。その動作の一環として、xDec ランサムウェアは暗号化されたファイルの元のファイル名を変更し、「info.txt」および「info.hta」という 2 つの身代金要求メッセージを生成します。さらに、被害者の ID、電子メール アドレス (「x-decrypt@worker.com」)、および拡張子「.xDec」などの特定の識別子をファイル名に追加します。たとえば、元々「1.pdf」という名前だったファイルは「1.pdf.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec」に変換され、「2.jpg」は「2.jpg.id[9ECFA74E-3449].[x-decrypt@worker.com].xDec」などになります。
セキュリティ専門家は、xDec ランサムウェアをPho b os ランサムウェアファミリーに関連する亜種として特定しており、その配布と操作の背後には組織化された持続的な脅威アクターが存在する可能性があることを示しています。
xDec ランサムウェアにより被害者は自分のファイルにアクセスできなくなる
xDec ランサムウェアに関連する身代金要求メッセージには、被害者のファイルの暗号化と、復元に必要な手順に関する詳細な指示と警告が記載されています。まず、コンピュータ システムのセキュリティ上の欠陥によりファイルが暗号化されたことを被害者に通知します。ファイル復元プロセスを開始するために被害者が連絡を取るための電子メール アドレス「x-decrypt@worker.com」が記載されています。メッセージには、被害者が電子メールの件名に一意の ID を含める必要があると記載されています。
被害者が 24 時間以内に応答を受け取らない場合は、別の電子メール アドレス「x-decrypt@hackermail.com」に連絡するよう通知されています。復号化サービスの支払いはビットコインでのみ受け付けられ、身代金の金額は被害者が攻撃者に迅速に連絡したかどうかによって決まります。
懸念を軽減するため、この通知では、ファイルサイズとコンテンツに一定の制限はあるものの、最大 3 つのファイルの復号を無料で提供しています。暗号化されたファイルの名前を変更したり、サードパーティの復号ソフトウェアを使用したりすることは、取り返しのつかないデータ損失や身代金の額の増加につながる可能性があるため、強く推奨されていません。さらに、この通知では、サードパーティの復号サービスを使用すると、コストが膨らんだり、詐欺行為に関与したりする可能性があるため、利用しないよう警告しています。
xDec ランサムウェアは、ファイルの暗号化だけでなく、ファイアウォールを無効にしてシステムをさらなる悪意ある活動に対して脆弱にすることで、多面的な脅威をもたらします。シャドウ ボリューム コピーを体系的に削除し、潜在的なファイル回復作業を妨害します。さらに、xDec には位置データを収集し、永続化メカニズムを利用する機能があり、特定のセキュリティ対策を戦略的に回避できます。
ランサムウェアの脅威からデバイスとデータのセキュリティを強化
ランサムウェアの脅威に対するデバイスとデータのセキュリティを強化するには、予防策、プロアクティブな監視、対応策を組み合わせた包括的なアプローチを実装する必要があります。ユーザーが実行できる重要な手順は次のとおりです。
- ソフトウェアを最新の状態に保つ: 脆弱性を修正し、既知の脆弱性から保護するために、オペレーティング システム、ソフトウェア アプリケーション、マルウェア対策プログラムを定期的に更新します。多くのランサムウェア攻撃は、古いソフトウェアを悪用します。
- 強力なパスワードを使用する:電子メール、ソーシャル メディア、オンライン バンキングなど、すべてのアカウントに固有のパスワードを作成します。パスワード マネージャーを使用して強力なパスワードを安全に作成および保存する利点について考えてみましょう。
- 2 要素認証 (2FA) を有効にする: 可能な場合は常に 2FA を実装して、アカウントのセキュリティをさらに強化します。これにより、パスワードが破損した場合でも、アクセスするには追加の検証手順が必要になります。
- 電子メールの添付ファイルとリンクには特に注意してください: 迷惑メール、特に不明な送信者からの添付ファイルやリンクを含むメールには注意してください。疑わしいリンクをクリックしたり、疑わしい、または予期しないメールの添付ファイルをダウンロードしたりしないでください。
- データを定期的にバックアップする: 基本的なファイルとデータを、別のストレージ デバイスまたはクラウド サービスに定期的にバックアップします。これらのバックアップが安全に保管され、ネットワークから直接アクセスできないようにして、ランサムウェア攻撃による破損を防ぎます。
- ネットワーク セキュリティ対策を実装する: ファイアウォール、侵入検知システム (IDS)、侵入防止システム (IPS) を使用して、ネットワーク トラフィックを監視し、疑わしいアクティビティがないかフィルタリングします。侵入が発生した場合にランサムウェアの拡散を制限するために、ネットワークをセグメント化します。
- ユーザーの教育: ランサムウェアのリスクと潜在的な脅威の特定方法についてユーザーを教育するためのトレーニングおよび意識向上プログラムを提供します。フィッシング メール、疑わしいリンク、サイバー犯罪者が使用するその他の一般的な手法を認識するようにユーザーに指導します。
これらの対策に従うことで、ユーザーはデバイスとデータのセキュリティを大幅に強化し、ランサムウェア攻撃の被害に遭う可能性を減らすことができます。
xDec ランサムウェアの主な身代金要求メッセージには、次の要求が記載されています。
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail x-decrypt@worker.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:x-decrypt@hackermail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsYou can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
