Multi-License Discount Quote
قاعدة بيانات التهديد Ransomware Dxen Ransomware

Dxen Ransomware

بواسطة Mezo في Ransomware
ترجمة الى:
العربية

اكتشف باحثو Infosec مؤخرًا تهديدًا جديدًا لبرامج الفدية يُعرف باسم Dxen. يعمل هذا النوع من البرامج الضارة عن طريق تشفير الملفات الموجودة على جهاز مصاب ثم مطالبة الضحية بالدفع مقابل فك التشفير. عند اختراق الجهاز بنجاح، تبدأ Dxen عملية التشفير، وتغيير أسماء الملفات المخزنة على النظام. تتضمن أسماء الملفات المعدلة ما يلي:

  • يتم تعيين معرف فريد للضحية.
  • عنوان البريد الإلكتروني للمهاجمين.
  • امتداد ".dxen".

على سبيل المثال، قد يتم تحويل ملف يحمل الاسم الأصلي '1.jpg' إلى '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

بعد الانتهاء من عملية التشفير، تقوم Dxen بإنشاء ملاحظات فدية مقدمة للضحايا من خلال نافذة منبثقة ('info.hta') وملف نصي ('info.txt'). يتم وضع هذه الملفات بشكل استراتيجي في جميع الدلائل المشفرة وعلى سطح المكتب لضمان رؤيتها للمستخدم المتأثر. ومن الجدير بالذكر أنه تم تأكيد Dxen باعتباره متغيرًا نشأ من عائلة Phobos Ransomware ، مما يشير إلى وجود اتصال بهذه السلالة المحددة من برامج التهديد.

يسعى Dxen Ransomware إلى ابتزاز الأموال من ضحاياه

يقوم الملف النصي الذي تم إنشاؤه بواسطة Dxen Ransomware بإبلاغ الضحية بأن بياناتهم خضعت للتشفير ويحثهم على إقامة اتصال مع المهاجمين لتسهيل عملية فك التشفير. بالإضافة إلى ذلك، توفر النافذة المنبثقة المصاحبة مزيدًا من التفاصيل فيما يتعلق بعدوى برامج الفدية، مع تحديد أن عملية فك التشفير تتطلب دفع فدية بعملة البيتكوين المشفرة. في حين أن مبلغ الفدية الدقيق لم يتم تحديده، فمن المفترض أنه يعتمد على السرعة التي يبدأ بها الضحية الاتصال. والجدير بالذكر أنه قبل الالتزام بدفع الفدية، يتم منح الضحية الفرصة لاختبار عملية فك التشفير على ما يصل إلى خمسة ملفات دون أي رسوم.

وتختتم مذكرة الفدية بتحذيرات تحذيرية للضحية. على وجه التحديد، ينصح بعدم إعادة تسمية الملفات المشفرة أو محاولة استخدام برامج فك التشفير التابعة لجهة خارجية، لأن مثل هذه الإجراءات قد تؤدي إلى فقدان دائم للبيانات. تؤكد هذه التفاصيل على الأساليب القسرية التي يستخدمها برنامج Dxen Ransomware، مع التركيز على المخاطر المالية والتشغيلية التي يواجهها الضحايا الذين قد يضطرون إلى التعامل مع المهاجمين من أجل استعادة الوصول إلى بياناتهم المشفرة.

يقوم برنامج Dxen Ransomware بإيقاف العديد من خيارات الاسترداد

تشترك Dxen، كجزء من عائلة Phobos Ransomware، في الخصائص مع برامج أخرى ضمن هذه المجموعة، وتستهدف في المقام الأول الملفات المحلية والمشتركة على الشبكة من أجل التشفير. ومن الجدير بالذكر أن الأجهزة المصابة تظل قيد التشغيل، حيث يتم حفظ ملفات النظام الهامة عمدًا من عملية التشفير. لمنع الاستثناءات بسبب الملفات التي تعتبر "قيد الاستخدام"، تنهي Dxen العمليات المرتبطة بالملفات المفتوحة، مثل برامج قواعد البيانات وقارئات الملفات النصية.

لتجنب التشفير المزدوج للملفات التي تم اختراقها مسبقًا، تحتفظ برامج Phobos Ransomware بقائمة من أنواع برامج الفدية. ومع ذلك، فإن هذه الإستراتيجية ليست مضمونة، لأنها لا تشمل جميع البرامج الضارة الموجودة لتشفير البيانات. بالإضافة إلى ذلك، تتخذ برامج الفدية هذه تدابير للقضاء على إمكانية استرداد الملفات عن طريق مسح نسخ حجم الظل.

يتم ضمان الثبات بواسطة برنامج Phobos الضار من خلال النسخ المتماثل الذاتي إلى مسار %LOCALAPPDATA% والتسجيل باستخدام مفاتيح تشغيل محددة. وبالتالي، يبدأ تشغيل برنامج الفدية تلقائيًا بعد كل عملية إعادة تشغيل للنظام، مما يضمن تواجدًا ثابتًا على الجهاز المصاب.

علاوة على ذلك، يُظهر برنامج Phobos Ransomware قدرة مثيرة للقلق من خلال جمع بيانات تحديد الموقع الجغرافي، مما يسمح للمهاجمين بتقييم مدى جدوى المضي قدمًا في الإصابة. ويمكن أن يتأثر الدافع وراء هذه الهجمات بالعوامل الجيوسياسية، أو القوة الاقتصادية للمنطقة، أو اعتبارات استراتيجية أخرى، مما يسلط الضوء على الطبيعة المتعددة الأوجه للتهديد الذي تشكله برامج الفدية داخل عائلة فوبوس.

لا تتبع التعليمات التي تركها مجرمي الإنترنت

يؤكد الباحثون الأمنيون على أن فك تشفير البيانات المشفرة بواسطة تهديدات برامج الفدية عادةً ما يكون مهمة معقدة دون مشاركة مجرمي الإنترنت. علاوة على ذلك، حتى عندما يمتثل الضحايا لطلبات الفدية، فإنهم غالبًا لا يحصلون على أدوات فك التشفير الموعودة. وبالتالي، يحذر الخبراء بشدة من دفع الفدية، لأنها لا تفشل فقط في ضمان استعادة البيانات ولكنها أيضًا تديم وتدعم الأنشطة غير القانونية.

لوقف تشفير البيانات الإضافية بواسطة برامج الفدية، يجب إزالة البرامج غير الآمنة تمامًا من نظام التشغيل. ومع ذلك، من المهم ملاحظة أن إزالة برنامج الفدية نفسه لا يؤدي تلقائيًا إلى استعادة الملفات المشفرة. الحل الوحيد القابل للتطبيق هو استعادة الملفات من نسخة احتياطية تم إنشاؤها مسبقًا، بشرط وجودها وتخزينها في مكان منفصل.

لتعزيز سلامة البيانات بشكل عام، يوصي الخبراء باعتماد نهج استباقي من خلال الاحتفاظ بنسخ احتياطية في مواقع متعددة ومتميزة. يمكن أن يشمل ذلك الخوادم البعيدة وأجهزة التخزين غير المتصلة والوسائط الآمنة الأخرى، مما يضمن بقاء استعادة البيانات خيارًا ممكنًا في حالة وقوع هجوم ببرامج الفدية. تساعد هذه الإستراتيجية الشاملة على التخفيف من المخاطر المرتبطة ببرامج الفدية وتؤكد أهمية وجود نظام نسخ احتياطي قوي في حماية البيانات القيمة.

مذكرة الفدية الرئيسية التي تم تسليمها لضحايا Dnex Ransomware هي:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

تحتوي الملفات النصية التي تم إنشاؤها بواسطة Dnex Ransomware على الرسالة التالية:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
34,392
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...