Dxen рансъмуер
Изследователите на Infosec наскоро разкриха нова заплаха от ransomware, известна като Dxen. Този тип зловреден софтуер работи, като криптира файлове на заразено устройство и след това изисква плащане от жертвата за дешифриране. При успешно проникване в устройство, Dxen инициира процеса на криптиране, променяйки имената на файловете, съхранени в системата. Модифицираните имена на файлове включват:
- На жертвата се присвоява уникален идентификатор.
- Имейл адресът на нападателите.
- Разширение „.dxen“.
Например, файл с първоначално име "1.jpg" може да бъде трансформиран в "1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen."
След завършване на процеса на криптиране, Dxen генерира бележки за откуп, представени на жертвите чрез изскачащ прозорец („info.hta“) и текстов файл („info.txt“). Тези файлове са стратегически поставени във всички криптирани директории и на работния плот, за да осигурят видимост за засегнатия потребител. Трябва да се отбележи, че Dxen е потвърден като вариант, произхождащ от фамилията Phobos Ransomware , което показва връзка с този конкретен вид заплашителен софтуер.
Съдържание
Рансъмуерът Dxen се стреми да изнудва пари от своите жертви
Текстовият файл, генериран от Dxen ransomware, съобщава на жертвата, че данните им са били криптирани и ги подканва да установят контакт с нападателите, за да улеснят процеса на дешифриране. В допълнение към това, съпътстващият изскачащ прозорец предлага допълнителни подробности относно инфекцията с ransomware, като уточнява, че процесът на декриптиране налага плащането на откуп в криптовалута Bitcoin. Въпреки че точната сума на откупа остава неуточнена, се предполага, че тя зависи от бързината, с която жертвата започва контакт. Трябва да се отбележи, че преди да се ангажира с плащането на откупа, на жертвата се дава възможност да тества процеса на дешифриране на до пет файла без никаква такса.
Бележката за откуп завършва с предупредителни предупреждения към жертвата. По-конкретно, той съветва да не преименувате криптираните файлове или да се опитвате да използвате софтуер за декриптиране на трети страни, тъй като подобни действия биха могли потенциално да доведат до трайна загуба на данни. Тези подробности подчертават принудителните тактики, използвани от Dxen Ransomware, подчертавайки финансовите и оперативните рискове, пред които са изправени жертвите, които може да бъдат принудени да се ангажират с нападателите, за да си възвърнат достъпа до своите криптирани данни.
Рансъмуерът Dxen изключва няколко опции за възстановяване
Dxen, като част от фамилията Phobos Ransomware, споделя характеристики с други програми в рамките на тази група, основно насочени към локални и споделени в мрежа файлове за криптиране. Трябва да се отбележи, че заразените устройства остават работещи, тъй като критичните системни файлове са умишлено спестени от процеса на криптиране. За да предотврати изключения, дължащи се на файлове, считани за „в употреба“, Dxen прекратява процеси, свързани с отворени файлове, като програми за бази данни и четци на текстови файлове.
За да се избегне двойно криптиране на вече компрометирани файлове, програмите Phobos Ransomware поддържат списък с типове рансъмуер. Тази стратегия обаче не е надеждна, тъй като не обхваща целия съществуващ злонамерен софтуер за криптиране на данни. Освен това, тези рансъмуер програми предприемат мерки за елиминиране на възможността за възстановяване на файлове чрез изтриване на Shadow Volume Copies.
Устойчивостта се осигурява от зловреден софтуер Phobos чрез саморепликация към пътя %LOCALAPPDATA% и регистрация със специфични ключове Run. Следователно рансъмуерът се стартира автоматично след всяко рестартиране на системата, осигурявайки постоянно присъствие на заразеното устройство.
Освен това Phobos Ransomware проявява тревожна способност чрез събиране на данни за геолокация, което позволява на нападателите да оценят жизнеспособността на продължаването на инфекцията. Мотивацията зад тези атаки може да бъде повлияна от геополитически фактори, икономическа сила на региона или други стратегически съображения, подчертаващи многостранния характер на заплахата, породена от рансъмуер в семейството на Phobos.
Не следвайте инструкциите, оставени от киберпрестъпниците
Изследователите по сигурността подчертават, че декриптирането на данни, криптирани от заплахи за ransomware, обикновено е сложна задача без участието на киберпрестъпници. Освен това, дори когато жертвите се съобразяват с исканията за откуп, те често не получават обещаните инструменти за дешифриране. Следователно експертите силно предупреждават срещу плащането на откупи, тъй като не само не гарантира възстановяване на данни, но също така поддържа и подкрепя незаконни дейности.
За да се спре криптирането на допълнителни данни от ransomware, опасният софтуер трябва да бъде напълно премахнат от операционната система. Важно е обаче да се отбележи, че самото премахване на ransomware не възстановява автоматично криптираните файлове. Единственото приложимо решение е да възстановите файлове от предварително създаден архив, при условие че съществува и се съхранява на отделно място.
За да се подобри цялостната безопасност на данните, експертите препоръчват възприемането на проактивен подход чрез поддържане на резервни копия на множество и различни места. Това може да включва отдалечени сървъри, изключени устройства за съхранение и други защитени носители, гарантиращи, че възстановяването на данни остава възможна опция в случай на атака на ransomware. Тази всеобхватна стратегия помага за смекчаване на рисковете, свързани с ransomware, и подчертава важността на стабилната система за архивиране при защитата на ценни данни.
Основната бележка за откуп, доставена на жертвите на Dnex Ransomware, е:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Текстовите файлове, генерирани от Dnex Ransomware, съдържат следното съобщение:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
