Multi-License Discount Quote
Databáze hrozeb Ransomware Dxen Ransomware

Dxen Ransomware

V roce Mezo v roce Ransomware
Přeložit do:
Čeština

Výzkumníci společnosti Infosec nedávno odhalili novou hrozbu ransomwaru známou jako Dxen. Tento typ malwaru funguje tak, že zašifruje soubory na infikovaném zařízení a poté od oběti požaduje platbu za dešifrování. Po úspěšné infiltraci zařízení Dxen zahájí proces šifrování a změní názvy souborů uložených v systému. Mezi upravené názvy souborů patří:

  • Oběti je přidělen jedinečný identifikátor.
  • E-mailové adresy útočníků.
  • Rozšíření „.dxen“.

Například soubor původně pojmenovaný '1.jpg' může být transformován na '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Po dokončení procesu šifrování Dxen generuje poznámky o výkupném, které jsou obětem prezentovány prostřednictvím vyskakovacího okna ('info.hta') a textového souboru ('info.txt'). Tyto soubory jsou strategicky umístěny ve všech zašifrovaných adresářích a na ploše, aby byla zajištěna viditelnost pro postiženého uživatele. Je pozoruhodné, že Dxen byl potvrzen jako varianta pocházející z rodiny Phobos Ransomware , což naznačuje spojení s tímto konkrétním kmenem ohrožujícího softwaru.

Dxen Ransomware se snaží vymáhat peníze od svých obětí

Textový soubor vygenerovaný ransomwarem Dxen sděluje oběti, že její data prošla šifrováním, a vyzývá ji, aby navázala kontakt s útočníky, aby se usnadnil proces dešifrování. Kromě toho doprovodné vyskakovací okno nabízí další podrobnosti týkající se ransomwarové infekce a upřesňuje, že proces dešifrování vyžaduje platbu výkupného v kryptoměně bitcoin. Zatímco přesná částka výkupného není specifikována, je údajně závislá na rychlosti, s jakou oběť zahájí kontakt. Je pozoruhodné, že předtím, než se oběť zaváže k platbě výkupného, dostane příležitost otestovat proces dešifrování až na pěti souborech bez jakýchkoli poplatků.

Výkupné končí varovným varováním pro oběť. Konkrétně nedoporučuje přejmenovávat zašifrované soubory ani se nepokoušet používat dešifrovací software třetích stran, protože takové akce by mohly potenciálně vést k trvalé ztrátě dat. Tyto detaily podtrhují donucovací taktiku používanou Dxen Ransomware a zdůrazňují finanční a provozní rizika, kterým čelí oběti, které mohou být nuceny se spojit s útočníky, aby znovu získaly přístup k jejich zašifrovaným datům.

Dxen Ransomware vypne několik možností obnovení

Dxen, jako součást rodiny Phobos Ransomware, sdílí charakteristiky s ostatními programy v této skupině a primárně se zaměřuje na místní i síťově sdílené soubory pro šifrování. Je pozoruhodné, že infikovaná zařízení zůstávají funkční, protože důležité systémové soubory jsou záměrně ušetřeny procesu šifrování. Aby se zabránilo výjimkám kvůli souborům považovaným za „používané“, Dxen ukončuje procesy spojené s otevřenými soubory, jako jsou databázové programy a čtečky textových souborů.

Aby se předešlo dvojitému šifrování dříve ohrožených souborů, programy Phobos Ransomware udržují seznam typů ransomwaru. Tato strategie však není spolehlivá, protože nezahrnuje veškerý existující malware pro šifrování dat. Tyto ransomwarové programy navíc přijímají opatření k eliminaci možnosti obnovení souborů vymazáním stínových kopií svazku.

Perzistence je zajištěna malwarem Phobos prostřednictvím vlastní replikace do cesty %LOCALAPPDATA% a registrace pomocí specifických klíčů Run. V důsledku toho se ransomware automaticky spouští po každém restartu systému, což zajišťuje konzistentní přítomnost na infikovaném zařízení.

Phobos Ransomware navíc vykazuje znepokojivou schopnost shromažďováním geolokačních dat, což umožňuje útočníkům posoudit životaschopnost pokračování infekce. Motivace za těmito útoky může být ovlivněna geopolitickými faktory, ekonomickou silou regionu nebo jinými strategickými úvahami, které zdůrazňují mnohostrannou povahu hrozby, kterou představuje ransomware v rámci rodiny Phobos.

Neřiďte se pokyny zanechanými kyberzločinci

Bezpečnostní výzkumníci zdůrazňují, že dešifrování dat zašifrovaných hrozbami ransomwaru je obvykle složitý úkol bez zapojení kyberzločinců. Navíc, i když oběti splňují požadavky na výkupné, často nedostanou slíbené dešifrovací nástroje. V důsledku toho odborníci důrazně varují před placením výkupného, protože nejenže nezaručuje obnovu dat, ale také udržuje a podporuje nezákonné aktivity.

Chcete-li zastavit šifrování dalších dat pomocí ransomwaru, musí být nebezpečný software zcela odstraněn z operačního systému. Je však zásadní poznamenat, že odstranění samotného ransomwaru automaticky neobnoví šifrované soubory. Jediným použitelným řešením je obnovení souborů z dříve vytvořené zálohy za předpokladu, že existuje a je uložena na samostatném místě.

Pro zvýšení celkové bezpečnosti dat odborníci doporučují přijmout proaktivní přístup udržováním záloh na více a odlišných místech. To může zahrnovat vzdálené servery, odpojená úložná zařízení a další bezpečná média, což zajišťuje, že obnova dat zůstane proveditelnou možností v případě útoku ransomware. Tato komplexní strategie pomáhá zmírňovat rizika spojená s ransomwarem a podtrhuje důležitost robustního zálohovacího systému pro ochranu cenných dat.

Hlavní výkupné doručené obětem Dnex Ransomware je:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Textové soubory generované Dnex Ransomware obsahují následující zprávu:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
34,392
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...