Lexus Ransomware
Ransomware je typ ohrožujícího softwaru navržený tak, aby zabránil přístupu k počítači nebo datům, dokud nebude zaplaceno výkupné. Tato forma kybernetického útoku často zahrnuje zašifrování souborů oběti, čímž je znepřístupní a požaduje výkupné za jejich vydání.
Lexus Ransomware je specifická malwarová hrozba, která zamyká data obětí šifrováním široké škály souborů, čímž je činí nepoužitelnými a nepřístupnými. Primárním cílem kyberzločinců stojících za Lexusem je vydírat oběti požadováním výkupného za možnost obnovit jejich soubory. Kromě šifrování Lexus také přejmenovává soubory a generuje dvě výkupné, „info.txt“ a „info.hta“. Bezpečnostní výzkumníci identifikovali Lexus Ransomware jako variantu rodiny Phobos Ransomware .
Při přejmenovávání souborů Lexus připojí ID oběti, e-mailovou adresu 'emily.florez@zohomail.com' a . Přípona 'Lexus' k původním názvům souborů. Například „1.doc“ se změní na „1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus“ a „2.pdf“ se změní na „2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Obsah
Lexus Ransomware se snaží vymáhat výkupné od obětí
Výkupné od Lexus Ransomware informuje oběť, že jejich data byla zašifrována a exfiltrována útočníky. Aby oběti znovu získaly přístup ke svým datům, musí získat specifický dešifrovací software poskytnutý kyberzločinci. Poznámka varuje, že pokus o dešifrování dat nezávisle nebo pomocí softwaru třetí strany může vést k trvalé ztrátě dat. Poznámka navíc slibuje, že po zaplacení budou data vymazána a nebudou prodána nebo zneužita.
V poznámce ale také hrozí, že pokud se oběť do dvou dnů neozve, exfiltrovaná data budou sdílena se zainteresovanými stranami. Poskytuje dvě e-mailové adresy jako komunikační kanály s útočníky (emily.florez@zohomail.com a barbara.li@gmx.com) a nedoporučuje přejmenovávat jakékoli šifrované soubory.
Rodina Phobos Ransomware je často využívána kyberzločinci
Ransomware z rodiny Phobos je proslulý šifrováním místních i síťově sdílených souborů, deaktivací firewallů a mazáním stínových kopií svazku. Tyto varianty se obvykle šíří prostřednictvím nezabezpečených služeb protokolu RDP (Remote Desktop Protocol).
Aby byla zachována jejich přítomnost v infikovaném systému, varianty Phobos Ransomware se duplikují do konkrétních adresářů a registrují se pomocí určených klíčů Run v registru Windows. Shromažďují také údaje o poloze a mohou některá místa vyloučit z procesu šifrování.
Zaujměte komplexní bezpečnostní přístup proti malwaru a ransomwaru
Pro účinnou ochranu proti malwaru a ransomwaru by uživatelé měli přijmout komplexní bezpečnostní přístup, který zahrnuje následující opatření:
Pravidelné zálohy :
Časté zálohování: Pravidelně zálohujte všechna důležitá data na externí disky nebo cloudové úložiště. Zajistěte, aby byly zálohy uchovávány offline nebo na bezpečném vzdáleném místě, abyste zabránili jejich kompromitaci během útoku.
Testování obnovy: Pokud je to možné, pravidelně testujte proces obnovy, abyste se ujistili, že zálohy fungují správně a data lze obnovit.
Aktuální software :
Aktualizace operačního systému: Udržujte operační systém a veškerý nainstalovaný software aktuální pomocí nejnovějších oprav.
Automatické aktualizace: Pokud je to možné, povolte automatické aktualizace, abyste zajistili včasnou aplikaci bezpečnostních záplat.
Silný bezpečnostní software :
Anti-malware: Nainstalujte si renomovaný anti-malware software, který nabízí ochranu v reálném čase proti hrozbám.
Firewall Protection: Použijte robustní firewall k blokování neoprávněného přístupu k vaší síti a systémům.
Zabezpečená konfigurace :
Omezit přístup RDP: Deaktivujte protokol RDP (Remote Desktop Protocol), pokud není potřeba, nebo jej zabezpečte pomocí silných hesel, vícefaktorové autentizace (MFA) a omezení přístupu prostřednictvím virtuální privátní sítě (VPN).
Princip nejmenšího privilegia: Proveďte princip nejmenšího privilegia omezením přístupových práv uživatele na minimum nezbytné pro jeho roli.
Zabezpečení e-mailu a webu :
Filtrování e-mailů: Použijte řešení pro filtrování e-mailů k blokování phishingových e-mailů a škodlivých příloh.
Filtrování webu: Implementujte filtrování webu, abyste omezili přístup ke známým škodlivým webovým stránkám a zabránili náhodnému stahování.
Vzdělávání a povědomí uživatelů :
Vzdělávací programy: Provádějte pravidelná školení, abyste uživatele poučili o nebezpečích malwaru a ransomwaru, včetně toho, jak uznat pokusy o phishing a vyhnout se nebezpečným praktikám.
Simulované útoky : Provádějte simulované phishingové útoky pro testování a zlepšení povědomí uživatelů.
Začleněním těchto opatření do komplexní bezpečnostní strategie mohou uživatelé výrazně zlepšit svou obranu proti malwaru a ransomwaru, snížit riziko infekce a snížit dopad jakýchkoli potenciálních útoků.
Úplný text výkupného, který zanechal Lexus Ransomware, je:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
