Dxen Ransomware
Οι ερευνητές της Infosec ανακάλυψαν πρόσφατα μια νέα απειλή ransomware γνωστή ως Dxen. Αυτός ο τύπος κακόβουλου λογισμικού λειτουργεί κρυπτογραφώντας αρχεία σε μια μολυσμένη συσκευή και στη συνέχεια απαιτώντας πληρωμή από το θύμα για αποκρυπτογράφηση. Μετά την επιτυχή διείσδυση σε μια συσκευή, το Dxen ξεκινά τη διαδικασία κρυπτογράφησης, αλλάζοντας τα ονόματα των αρχείων που είναι αποθηκευμένα στο σύστημα. Τα τροποποιημένα ονόματα αρχείων περιλαμβάνουν:
- Ένα μοναδικό αναγνωριστικό εκχωρείται στο θύμα.
- Η διεύθυνση email των εισβολέων.
- Μια επέκταση ".dxen".
Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.jpg" μπορεί να μετατραπεί σε "1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen."
Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, το Dxen δημιουργεί σημειώσεις λύτρων που παρουσιάζονται στα θύματα μέσω ενός αναδυόμενου παραθύρου ('info.hta') και ενός αρχείου κειμένου ('info.txt'). Αυτά τα αρχεία τοποθετούνται στρατηγικά σε όλους τους κρυπτογραφημένους καταλόγους και στην επιφάνεια εργασίας για να διασφαλίζεται η ορατότητα στον επηρεαζόμενο χρήστη. Συγκεκριμένα, το Dxen έχει επιβεβαιωθεί ως παραλλαγή που προέρχεται από την οικογένεια Phobos Ransomware , υποδεικνύοντας μια σύνδεση με αυτό το συγκεκριμένο είδος απειλητικού λογισμικού.
Πίνακας περιεχομένων
Το Dxen Ransomware επιδιώκει να αποσπάσει χρήματα από τα θύματά του
Το αρχείο κειμένου που δημιουργείται από το Dxen ransomware γνωστοποιεί στο θύμα ότι τα δεδομένα του έχουν υποστεί κρυπτογράφηση και το προτρέπει να επικοινωνήσει με τους εισβολείς για να διευκολύνει τη διαδικασία αποκρυπτογράφησης. Επιπλέον, το συνοδευτικό αναδυόμενο παράθυρο προσφέρει περαιτέρω λεπτομέρειες σχετικά με τη μόλυνση από ransomware, διευκρινίζοντας ότι η διαδικασία αποκρυπτογράφησης απαιτεί την πληρωμή λύτρων σε κρυπτονόμισμα Bitcoin. Ενώ το ακριβές ποσό των λύτρων παραμένει απροσδιόριστο, υποτίθεται ότι εξαρτάται από την ταχύτητα με την οποία το θύμα ξεκινά την επαφή. Συγκεκριμένα, πριν δεσμευτεί για την πληρωμή λύτρων, παρέχεται στο θύμα η ευκαιρία να δοκιμάσει τη διαδικασία αποκρυπτογράφησης σε έως και πέντε αρχεία χωρίς καμία χρέωση.
Το σημείωμα για τα λύτρα ολοκληρώνεται με προειδοποιητικές προειδοποιήσεις προς το θύμα. Συγκεκριμένα, συμβουλεύει να μην μετονομάσετε τα κρυπτογραφημένα αρχεία ή να μην προσπαθήσετε να χρησιμοποιήσετε λογισμικό αποκρυπτογράφησης τρίτου μέρους, καθώς τέτοιες ενέργειες ενδέχεται να οδηγήσουν σε μόνιμη απώλεια δεδομένων. Αυτές οι λεπτομέρειες υπογραμμίζουν τις καταναγκαστικές τακτικές που εφαρμόζει το Dxen Ransomware, δίνοντας έμφαση στους οικονομικούς και λειτουργικούς κινδύνους που αντιμετωπίζουν τα θύματα που ενδέχεται να αναγκαστούν να εμπλακούν με τους εισβολείς προκειμένου να ανακτήσουν την πρόσβαση στα κρυπτογραφημένα δεδομένα τους.
Το Dxen Ransomware τερματίζει πολλές επιλογές ανάκτησης
Το Dxen, ως μέρος της οικογένειας Phobos Ransomware, μοιράζεται χαρακτηριστικά με άλλα προγράμματα αυτής της ομάδας, στοχεύοντας κυρίως τόσο σε τοπικά όσο και σε κοινόχρηστα αρχεία δικτύου για κρυπτογράφηση. Αξίζει να σημειωθεί ότι οι μολυσμένες συσκευές παραμένουν λειτουργικές, καθώς τα κρίσιμα αρχεία συστήματος εξοικονομούνται σκόπιμα από τη διαδικασία κρυπτογράφησης. Για να αποτρέψει εξαιρέσεις λόγω αρχείων που θεωρούνται "σε χρήση", το Dxen τερματίζει διαδικασίες που σχετίζονται με ανοιχτά αρχεία, όπως προγράμματα βάσης δεδομένων και προγράμματα ανάγνωσης αρχείων κειμένου.
Για να αποφευχθεί η διπλή κρυπτογράφηση αρχείων που είχαν παραβιαστεί στο παρελθόν, τα προγράμματα Phobos Ransomware διατηρούν μια λίστα τύπων ransomware. Ωστόσο, αυτή η στρατηγική δεν είναι αλάνθαστη, καθώς δεν περιλαμβάνει όλα τα υπάρχοντα κακόβουλα προγράμματα κρυπτογράφησης δεδομένων. Επιπλέον, αυτά τα προγράμματα ransomware λαμβάνουν μέτρα για να εξαλείψουν τη δυνατότητα ανάκτησης αρχείων σκουπίζοντας τα Σκιώδη αντίγραφα τόμου.
Η επιμονή διασφαλίζεται από το κακόβουλο λογισμικό Phobos μέσω της αυτο-ανατύπωσης στη διαδρομή %LOCALAPPDATA% και της εγγραφής με συγκεκριμένα κλειδιά εκτέλεσης. Κατά συνέπεια, το ransomware ξεκινά αυτόματα μετά από κάθε επανεκκίνηση του συστήματος, διασφαλίζοντας μια σταθερή παρουσία στη μολυσμένη συσκευή.
Επιπλέον, το Phobos Ransomware παρουσιάζει μια ανησυχητική ικανότητα συλλέγοντας δεδομένα γεωγραφικής θέσης, επιτρέποντας στους εισβολείς να αξιολογήσουν τη βιωσιμότητα της μετάβασης στη μόλυνση. Το κίνητρο πίσω από αυτές τις επιθέσεις μπορεί να επηρεαστεί από γεωπολιτικούς παράγοντες, την οικονομική ισχύ της περιοχής ή άλλους στρατηγικούς παράγοντες, υπογραμμίζοντας την πολύπλευρη φύση της απειλής που θέτει το ransomware εντός της οικογένειας Phobos.
Μην ακολουθείτε τις οδηγίες που αφήνουν οι κυβερνοεγκληματίες
Οι ερευνητές ασφαλείας τονίζουν ότι η αποκρυπτογράφηση δεδομένων που κρυπτογραφούνται από απειλές ransomware είναι συνήθως μια πολύπλοκη εργασία χωρίς τη συμμετοχή κυβερνοεγκληματιών. Επιπλέον, ακόμη και όταν τα θύματα συμμορφώνονται με τις απαιτήσεις για λύτρα, συχνά δεν λαμβάνουν τα υποσχεμένα εργαλεία αποκρυπτογράφησης. Ως εκ τούτου, οι ειδικοί προειδοποιούν έντονα κατά της πληρωμής λύτρων, καθώς όχι μόνο δεν εγγυάται την ανάκτηση δεδομένων αλλά επίσης διαιωνίζει και υποστηρίζει παράνομες δραστηριότητες.
Για να σταματήσει η κρυπτογράφηση πρόσθετων δεδομένων από ransomware, το μη ασφαλές λογισμικό πρέπει να εξαλειφθεί πλήρως από το λειτουργικό σύστημα. Ωστόσο, είναι σημαντικό να σημειωθεί ότι η αφαίρεση του ίδιου του ransomware δεν επαναφέρει αυτόματα τα κρυπτογραφημένα αρχεία. Η μόνη εφαρμόσιμη λύση είναι η ανάκτηση αρχείων από ένα αντίγραφο ασφαλείας που δημιουργήθηκε προηγουμένως, υπό την προϋπόθεση ότι υπάρχει και είναι αποθηκευμένο σε ξεχωριστή τοποθεσία.
Για τη βελτίωση της συνολικής ασφάλειας δεδομένων, οι ειδικοί συνιστούν την υιοθέτηση μιας προληπτικής προσέγγισης διατηρώντας αντίγραφα ασφαλείας σε πολλαπλές και διακριτές τοποθεσίες. Αυτό μπορεί να περιλαμβάνει απομακρυσμένους διακομιστές, αποσυνδεδεμένες συσκευές αποθήκευσης και άλλα ασφαλή μέσα, διασφαλίζοντας ότι η ανάκτηση δεδομένων παραμένει μια εφικτή επιλογή σε περίπτωση επίθεσης ransomware. Αυτή η ολοκληρωμένη στρατηγική συμβάλλει στον μετριασμό των κινδύνων που σχετίζονται με το ransomware και υπογραμμίζει τη σημασία ενός ισχυρού συστήματος δημιουργίας αντιγράφων ασφαλείας για τη διαφύλαξη πολύτιμων δεδομένων.
Το κύριο σημείωμα λύτρων που παραδόθηκε στα θύματα του Dnex Ransomware είναι:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Τα αρχεία κειμένου που δημιουργούνται από το Dnex Ransomware περιέχουν το ακόλουθο μήνυμα:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
