Multi-License Discount Quote
Ohtude andmebaas Ransomware Dxen Ransomware

Dxen Ransomware

Aastaks Mezo aastal Ransomware
Tõlgi:
Eesti

Infoseci teadlased on hiljuti avastanud uue lunavaraohu, mida tuntakse Dxeni nime all. Seda tüüpi pahavara krüpteerib nakatunud seadmes olevad failid ja nõuab seejärel ohvrilt dekrüpteerimise eest tasu. Pärast edukat seadmesse tungimist käivitab Dxen krüpteerimisprotsessi, muutes süsteemi salvestatud failide nimesid. Muudetud failinimed hõlmavad järgmist:

  • Ohvrile määratakse kordumatu tunnus.
  • Ründajate e-posti aadress.
  • Laiend ".dxen".

Näiteks faili, mille algne nimi oli '1.jpg', võib teisendada failiks '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Pärast krüpteerimisprotsessi lõppu genereerib Dxen hüpikakna ("info.hta") ja tekstifaili ("info.txt") kaudu ohvritele esitatavad lunarahamärkmed. Need failid on strateegiliselt paigutatud kõikidesse krüptitud kataloogidesse ja töölauale, et tagada mõjutatud kasutajale nähtavus. Eelkõige on Dxen kinnitatud kui Phobos Ransomware perekonnast pärit variant, mis näitab seost selle konkreetse ähvardava tarkvara tüvega.

Dxen Ransomware püüab oma ohvritelt raha välja pressida

Dxeni lunavara poolt genereeritud tekstifail teatab ohvrile, et tema andmed on krüpteeritud, ja soovitab tungivalt dekrüpteerimisprotsessi hõlbustamiseks ründajatega kontakti luua. Lisaks sellele pakub kaasnev hüpikaken lisateavet lunavaraga nakatumise kohta, täpsustades, et dekrüpteerimisprotsess nõuab lunaraha maksmist Bitcoini krüptovaluutas. Kuigi täpne lunarahasumma on jäetud täpsustamata, sõltub see väidetavalt sellest, kui kiiresti ohver kontakti alustab. Märkimisväärne on see, et enne lunaraha maksmisele pühendumist antakse ohvrile võimalus testida dekrüpteerimisprotsessi kuni viie failiga tasuta.

Lunarahakiri lõppeb hoiatavate hoiatustega ohvrile. Täpsemalt ei soovita see krüptitud faile ümber nimetada ega proovida kasutada kolmanda osapoole dekrüpteerimistarkvara, kuna sellised toimingud võivad põhjustada püsivat andmete kadumist. Need üksikasjad rõhutavad Dxen Ransomware sunniviisilist taktikat, rõhutades rahalisi ja tegevusriske, millega seisavad silmitsi ohvrid, kes võivad olla sunnitud ründajatega suhtlema, et oma krüptitud andmetele juurde pääseda.

Dxeni lunavara lülitab välja mitmed taastamisvõimalused

Dxen kui osa Phobos Ransomware perekonnast jagab omadusi teiste selle rühma programmidega, sihites peamiselt nii kohalikke kui ka võrgus jagatud faile krüptimiseks. Nakatunud seadmed jäävad tööle, kuna kriitilisi süsteemifaile säästetakse tahtlikult krüpteerimisprotsessist. Kasutatavatest failidest tingitud erandite vältimiseks lõpetab Dxen avatud failidega seotud protsessid, nagu andmebaasiprogrammid ja tekstifaililugejad.

Et vältida varem ohustatud failide topeltkrüpteerimist, peavad Phobos Ransomware programmid lunavaratüüpide loendit. See strateegia pole aga lollikindel, kuna see ei hõlma kogu olemasolevat andmeid krüpteerivat pahavara. Lisaks võtavad need lunavaraprogrammid meetmeid, et välistada failide taastamise võimalus, pühkides varjukoopiad.

Püsimise tagab Phobose pahavara isereplikatsiooni teel %LOCALAPPDATA% teele ja registreerimise konkreetsete Run-võtmetega. Järelikult käivitub lunavara automaatselt pärast iga süsteemi taaskäivitamist, tagades järjekindla kohaloleku nakatunud seadmes.

Veelgi enam, Phobos Ransomware on murettekitav võime, kogudes geograafilise asukoha andmeid, võimaldades ründajatel hinnata nakkusega jätkamise elujõulisust. Nende rünnakute motivatsiooni võivad mõjutada geopoliitilised tegurid, piirkonna majanduslik tugevus või muud strateegilised kaalutlused, mis tõstavad esile Phobose perekonna lunavarast tuleneva ohu mitmetahulisuse.

Ärge järgige küberkurjategijate antud juhiseid

Turvauurijad rõhutavad, et lunavaraohtudega krüpteeritud andmete dekrüpteerimine on tavaliselt keeruline ülesanne ilma küberkurjategijate osaluseta. Veelgi enam, isegi kui ohvrid täidavad lunarahanõudeid, ei saa nad sageli lubatud dekrüpteerimistööriistu. Sellest tulenevalt hoiatavad eksperdid tungivalt lunaraha maksmise eest, kuna see mitte ainult ei taga andmete taastamist, vaid ka põlistab ja toetab ebaseaduslikku tegevust.

Täiendavate andmete krüptimise peatamiseks lunavara poolt tuleb ohtlik tarkvara operatsioonisüsteemist täielikult välja juurida. Siiski on ülioluline märkida, et lunavara eemaldamine ei taasta automaatselt krüptitud faile. Ainus kasutatav lahendus on failide taastamine varem loodud varukoopiast, eeldusel, et see on olemas ja seda hoitakse eraldi kohas.

Üldise andmeohutuse suurendamiseks soovitavad eksperdid kasutada ennetavat lähenemisviisi, hoides varukoopiaid mitmes ja erinevas kohas. See võib hõlmata kaugservereid, lahti ühendatud salvestusseadmeid ja muid turvalisi kandjaid, tagades, et andmete taastamine jääb lunavararünnaku korral teostatavaks võimaluseks. See kõikehõlmav strateegia aitab maandada lunavaraga seotud riske ja rõhutab tugeva varundussüsteemi tähtsust väärtuslike andmete kaitsmisel.

Peamine Dnex Ransomware ohvritele tarnitud lunaraha on:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Dnex Ransomware loodud tekstifailid sisaldavad järgmist teadet:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Trendikas

Enim vaadatud

Laadimine...