Multi-License Discount Quote
Trusseldatabase Ransomware Dxen Ransomware

Dxen Ransomware

Med Mezo i Ransomware
Oversæt til:
Dansk

Infosec-forskere har for nylig afsløret en ny ransomware-trussel kendt som Dxen. Denne type malware fungerer ved at kryptere filer på en inficeret enhed og derefter kræve betaling fra offeret for dekryptering. Efter succesfuld infiltration af en enhed starter Dxen krypteringsprocessen og ændrer navnene på de filer, der er gemt på systemet. De ændrede filnavne inkluderer:

  • En unik identifikator tildeles offeret.
  • E-mail-adressen på angriberne.
  • En '.dxen'-udvidelse.

For eksempel kan en fil, der oprindeligt hedder '1.jpg', blive transformeret til '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Efter afslutningen af krypteringsprocessen genererer Dxen løsesumsedler, der præsenteres for ofrene gennem et pop-up-vindue ('info.hta') og en tekstfil ('info.txt'). Disse filer er strategisk placeret i alle krypterede mapper og på skrivebordet for at sikre synlighed for den berørte bruger. Især er Dxen blevet bekræftet som en variant, der stammer fra Phobos Ransomware -familien, hvilket indikerer en forbindelse til denne særlige stamme af truende software.

Dxen Ransomware søger at afpresse penge fra sine ofre

Tekstfilen genereret af Dxen ransomware kommunikerer til offeret, at deres data har gennemgået kryptering og opfordrer dem til at etablere kontakt med angriberne for at lette dekrypteringsprocessen. Ud over dette tilbyder det medfølgende pop-up-vindue yderligere detaljer vedrørende ransomware-infektionen, der specificerer, at dekrypteringsprocessen nødvendiggør betaling af en løsesum i Bitcoin cryptocurrency. Mens det nøjagtige løsesumsbeløb efterlades uspecificeret, er det angiveligt betinget af den hurtighed, som offeret indleder kontakt med. Navnlig, før offeret forpligter sig til at betale løsesum, får offeret mulighed for at teste dekrypteringsprocessen på op til fem filer uden omkostninger.

Løsesedlen afsluttes med advarsler til offeret. Specifikt fraråder det at omdøbe de krypterede filer eller forsøge at bruge tredjeparts dekrypteringssoftware, da sådanne handlinger potentielt kan resultere i permanent datatab. Disse detaljer understreger den tvangstaktik, der anvendes af Dxen Ransomware, og understreger de økonomiske og operationelle risici, som ofre står over for, som kan være tvunget til at engagere sig med angriberne for at genvinde adgang til deres krypterede data.

Dxen Ransomware lukker ned for flere gendannelsesmuligheder

Dxen, som en del af Phobos Ransomware-familien, deler karakteristika med andre programmer inden for denne gruppe, primært rettet mod både lokale og netværksdelte filer til kryptering. Navnlig forbliver inficerede enheder operationelle, da kritiske systemfiler bevidst bliver skånet fra krypteringsprocessen. For at forhindre undtagelser på grund af filer, der anses for at være 'i brug', afslutter Dxen processer forbundet med åbne filer, såsom databaseprogrammer og tekstfillæsere.

For at undgå dobbeltkryptering af tidligere kompromitterede filer vedligeholder Phobos Ransomware-programmerne en liste over ransomware-typer. Denne strategi er dog ikke idiotsikker, da den ikke omfatter al eksisterende datakrypterende malware. Derudover træffer disse ransomware-programmer foranstaltninger for at eliminere muligheden for filgendannelse ved at slette Shadow Volume Copies.

Vedvarenhed sikres af Phobos malware gennem selvreplikering til %LOCALAPPDATA% stien og registrering med specifikke Run-nøgler. Som følge heraf starter ransomware automatisk efter hver systemgenstart, hvilket sikrer en konsekvent tilstedeværelse på den inficerede enhed.

Desuden udviser Phobos Ransomware en bekymrende evne ved at indsamle geolokaliseringsdata, hvilket giver angriberne mulighed for at vurdere levedygtigheden af at fortsætte med infektionen. Motivationen bag disse angreb kan være påvirket af geopolitiske faktorer, regionens økonomiske styrke eller andre strategiske overvejelser, hvilket fremhæver den mangefacetterede karakter af truslen fra ransomware inden for Phobos-familien.

Følg ikke instruktionerne efterladt af cyberkriminelle

Sikkerhedsforskere understreger, at dekryptering af data krypteret med ransomware-trusler typisk er en kompleks opgave uden involvering af cyberkriminelle. Desuden, selv når ofre overholder krav om løsesum, får de ofte ikke de lovede dekrypteringsværktøjer. Eksperter advarer derfor på det kraftigste mod at betale løsesum, da det ikke kun ikke garanterer datagendannelse, men også fastholder og understøtter ulovlige aktiviteter.

For at stoppe kryptering af yderligere data med ransomware skal den usikre software være fuldstændig udryddet fra operativsystemet. Det er dog afgørende at bemærke, at fjernelse af selve ransomwaren ikke automatisk gendanner krypterede filer. Den eneste anvendelige løsning er at gendanne filer fra en tidligere oprettet sikkerhedskopi, forudsat at den findes og er gemt på en separat placering.

For at øge den overordnede datasikkerhed anbefaler eksperter, at man bruger en proaktiv tilgang ved at vedligeholde sikkerhedskopier på flere og forskellige steder. Dette kan omfatte fjernservere, unplugged lagerenheder og andre sikre medier, der sikrer, at datagendannelse forbliver en mulig mulighed i tilfælde af et ransomware-angreb. Denne omfattende strategi hjælper med at mindske de risici, der er forbundet med ransomware og understreger vigtigheden af et robust backupsystem til at beskytte værdifulde data.

Den vigtigste løsesumseddel leveret til ofre for Dnex Ransomware er:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Tekstfilerne genereret af Dnex Ransomware indeholder følgende besked:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Trending

Mest sete

Indlæser...