Dxen Ransomware

Els investigadors de Infosec han descobert recentment una nova amenaça de ransomware coneguda com Dxen. Aquest tipus de programari maliciós funciona xifrant fitxers en un dispositiu infectat i després exigint el pagament a la víctima per al desxifrat. En infiltrar-se amb èxit en un dispositiu, Dxen inicia el procés de xifratge, alterant els noms dels fitxers emmagatzemats al sistema. Els noms de fitxer modificats inclouen:

• S'assigna un identificador únic a la víctima.
• L'adreça de correu electrònic dels atacants.
• Una extensió '.dxen'.

Per exemple, un fitxer anomenat originalment '1.jpg' es pot transformar en '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Un cop finalitzat el procés de xifratge, Dxen genera notes de rescat presentades a les víctimes mitjançant una finestra emergent ('info.hta') i un fitxer de text ('info.txt'). Aquests fitxers es col·loquen estratègicament a tots els directoris xifrats i a l'escriptori per garantir la visibilitat de l'usuari afectat. En particular, s'ha confirmat que Dxen és una variant provinent de la família Phobos Ransomware , cosa que indica una connexió amb aquesta varietat particular de programari amenaçador.

El Dxen Ransomware busca extorsionar diners a les seves víctimes

El fitxer de text generat pel ransomware Dxen comunica a la víctima que les seves dades han estat xifrades i l'insta a establir contacte amb els atacants per facilitar el procés de desxifrat. A més d'això, la finestra emergent que l'acompanya ofereix més detalls sobre la infecció del ransomware, especificant que el procés de desxifrat requereix el pagament d'un rescat en criptomoneda Bitcoin. Tot i que la quantitat exacta del rescat no s'especifica, suposadament depèn de la rapidesa amb què la víctima iniciï el contacte. En particular, abans de comprometre's amb el pagament del rescat, la víctima té l'oportunitat de provar el procés de desxifrat en fins a cinc fitxers sense cap càrrec.

La nota de rescat conclou amb advertències a la víctima. Concretament, desaconsella canviar el nom dels fitxers xifrats o intentar utilitzar programari de desxifrat de tercers, ja que aquestes accions podrien provocar una pèrdua permanent de dades. Aquests detalls subratllen les tàctiques coercitives emprades pel Dxen Ransomware, posant l'accent en els riscos financers i operatius als quals s'enfronten les víctimes que poden veure's obligades a relacionar-se amb els atacants per recuperar l'accés a les seves dades xifrades.

El ransomware Dxen tanca diverses opcions de recuperació

Dxen, com a part de la família Phobos Ransomware, comparteix característiques amb altres programes d'aquest grup, dirigint-se principalment a fitxers locals i compartits a la xarxa per al xifratge. En particular, els dispositius infectats continuen operatius, ja que els fitxers crítics del sistema s'estalvien intencionadament del procés de xifratge. Per evitar excepcions a causa de fitxers considerats "en ús", Dxen finalitza els processos associats amb fitxers oberts, com ara programes de bases de dades i lectors de fitxers de text.

Per evitar el xifrat doble dels fitxers prèviament compromesos, els programes Phobos Ransomware mantenen una llista de tipus de ransomware. Tanmateix, aquesta estratègia no és infal·lible, ja que no inclou tot el programari maliciós de xifrat de dades existent. A més, aquests programes de ransomware prenen mesures per eliminar la possibilitat de recuperació de fitxers esborrant les còpies del volum d'ombra.

El programari maliciós Phobos garanteix la persistència mitjançant l'autoreplicació a la ruta %LOCALAPPDATA% i el registre amb claus d'execució específiques. En conseqüència, el ransomware s'inicia automàticament després de cada reinici del sistema, assegurant una presència constant al dispositiu infectat.

A més, el Phobos Ransomware presenta una capacitat preocupant en recopilar dades de geolocalització, cosa que permet als atacants avaluar la viabilitat de procedir amb la infecció. La motivació d'aquests atacs pot estar influenciada per factors geopolítics, la fortalesa econòmica de la regió o altres consideracions estratègiques, posant de manifest la naturalesa multifacètica de l'amenaça que suposa el ransomware dins de la família Phobos.

No segueixis les instruccions que deixen els ciberdelinqüents

Els investigadors de seguretat subratllen que el desxifrat de dades xifrades per amenaces de ransomware sol ser una tasca complexa sense la implicació dels ciberdelinqüents. A més, fins i tot quan les víctimes compleixen les demandes de rescat, sovint no reben les eines de desxifrat promeses. En conseqüència, els experts adverteixen fortament el pagament de rescats, ja que no només no garanteix la recuperació de dades, sinó que també perpetua i dóna suport a activitats il·legals.

Per aturar el xifratge de dades addicionals mitjançant ransomware, el programari no segur s'ha d'eradicar completament del sistema operatiu. No obstant això, és crucial tenir en compte que l'eliminació del ransomware en si no restaura automàticament els fitxers xifrats. L'única solució aplicable és recuperar fitxers d'una còpia de seguretat creada prèviament, sempre que existeixi i s'emmagatzemi en una ubicació independent.

Per millorar la seguretat general de les dades, els experts recomanen adoptar un enfocament proactiu mantenint còpies de seguretat en ubicacions múltiples i diferents. Això pot incloure servidors remots, dispositius d'emmagatzematge desconnectats i altres mitjans segurs, assegurant que la recuperació de dades segueixi sent una opció factible en cas d'atac de ransomware. Aquesta estratègia integral ajuda a mitigar els riscos associats amb el ransomware i subratlla la importància d'un sistema de còpia de seguretat robust per protegir les dades valuoses.

La nota de rescat principal lliurada a les víctimes del Dnex Ransomware és:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Els fitxers de text generats per Dnex Ransomware contenen el missatge següent:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'