Lexus Ransomware
Ransomware е вид заплашителен софтуер, предназначен да предотврати достъпа до компютър или данни, докато не бъде платен откуп. Тази форма на кибератака често включва криптиране на файловете на жертвата, което ги прави недостъпни и изисква откуп за освобождаването им.
Lexus Ransomware е специфична злонамерена заплаха, която заключва данните на жертвите чрез криптиране на широк набор от файлове, което ги прави неизползваеми и недостъпни. Основната цел на киберпрестъпниците зад Lexus е да изнудват жертвите, като искат плащане на откуп за възможността да възстановят файловете си. Освен криптирането, Lexus също преименува файлове и генерира две бележки за откуп, „info.txt“ и „info.hta“. Изследователите по сигурността идентифицираха Lexus Ransomware като вариант на фамилията Phobos Ransomware .
Когато преименува файлове, Lexus добавя ID на жертвата, имейл адреса „emily.florez@zohomail.com“ и. Разширение „Lexus“ към оригиналните имена на файлове. Например „1.doc“ става „1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus“, а „2.pdf“ се променя на „2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Съдържание
Lexus Ransomware се стреми да изнуди плащания за откуп от жертвите
Бележката за откуп от Lexus Ransomware информира жертвата, че нейните данни са криптирани и ексфилтрирани от нападателите. За да възвърнат достъпа до своите данни, жертвите трябва да получат специален софтуер за дешифриране, предоставен от киберпрестъпниците. Бележката предупреждава, че опитът за дешифриране на данните независимо или използването на софтуер на трети страни може да доведе до трайна загуба на данни. Освен това бележката обещава, че при плащане данните ще бъдат изтрити и няма да бъдат продавани или използвани неправомерно.
Бележката обаче също така заплашва, че ако жертвата не отговори в рамките на два дни, ексфилтрираните данни ще бъдат споделени със заинтересованите страни. Той предоставя два имейл адреса като комуникационни канали с нападателите (emily.florez@zohomail.com и barbara.li@gmx.com) и съветва да не се преименуват никакви криптирани файлове.
Семейството Phobos рансъмуер често се използва от киберпрестъпниците
Рансъмуерът от фамилията Phobos е известен с криптирането както на локални, така и на споделени в мрежа файлове, деактивирането на защитните стени и изтриването на Shadow Volume Copies. Тези варианти обикновено се разпространяват чрез несигурни услуги на протокола за отдалечен работен плот (RDP).
За да поддържат присъствието си в заразената система, вариантите на Phobos Ransomware се дублират в определени директории и се регистрират с определени ключове Run в системния регистър на Windows. Те също събират данни за местоположение и могат да изключат определени местоположения от процеса на криптиране.
Възползвайте се от всеобхватен подход за сигурност срещу зловреден софтуер и Ransomware
За ефективна защита срещу злонамерен софтуер и рансъмуер, потребителите трябва да възприемат цялостен подход за сигурност, който включва следните мерки:
Редовни резервни копия :
Често архивиране: Редовно архивирайте всички важни данни на външни дискове или облачно хранилище. Уверете се, че резервните копия се съхраняват офлайн или на сигурно, отдалечено място, за да ги предотвратите от компрометиране по време на атака.
Тествайте възстановяването: Ако е възможно, периодично тествайте процеса на възстановяване, за да потвърдите, че архивите функционират правилно и данните могат да бъдат възстановени.
Актуален софтуер :
Актуализации на операционната система: Поддържайте операционната система, както и всеки инсталиран софтуер актуален с най-новите корекции.
Автоматични актуализации: Активирайте автоматичните актуализации, когато е възможно, за да осигурите навременно прилагане на корекции за сигурност.
Силен софтуер за сигурност :
Анти-зловреден софтуер: Инсталирайте уважаван софтуер против зловреден софтуер, който предлага защита в реално време срещу заплахи.
Защита със защитна стена: Използвайте стабилна защитна стена, за да блокирате неоторизиран достъп до вашата мрежа и системи.
Сигурна конфигурация :
Ограничете достъпа до RDP: Деактивирайте протокола за отдалечен работен плот (RDP), ако не е необходим, или го защитете, като използвате силни пароли, многофакторно удостоверяване (MFA) и ограничаване на достъпа през виртуална частна мрежа (VPN).
Принцип на най-малко привилегии: Изпълнете принципа на най-малко привилегии, като ограничите правата за достъп на потребителя до минимума, необходим за тяхната роля.
Имейл и уеб сигурност :
Филтриране на имейли: Използвайте решения за филтриране на имейли, за да блокирате фишинг имейли и злонамерени прикачени файлове.
Уеб филтриране: Внедрете уеб филтриране, за да ограничите достъпа до известни злонамерени уебсайтове и да предотвратите изтегляния по пътя.
Образование и осведоменост на потребителите :
Програми за обучение: Провеждайте редовни сесии за обучение, за да образовате потребителите относно опасностите от зловреден софтуер и рансъмуер, включително как да разпознават опитите за фишинг и да избягват опасни практики.
Симулирани атаки : Изпълнете симулирани фишинг атаки, за да тествате и подобрите информираността на потребителите.
Чрез интегрирането на тези мерки в цялостна стратегия за сигурност, потребителите могат значително да подобрят защитата си срещу злонамерен софтуер и рансъмуер, намалявайки риска от инфекция и въздействието на всякакви потенциални атаки.
Пълният текст на бележката за откуп, оставена от Lexus Ransomware, е:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
