Lexus Ransomware
Lunavara on teatud tüüpi ähvardav tarkvara, mis on loodud takistama juurdepääsu arvutile või andmetele kuni lunaraha maksmiseni. Selline küberrünnak hõlmab sageli ohvri failide krüptimist, muutes need kättesaamatuks ja nõudes nende vabastamise eest lunaraha.
Lexuse lunavara on spetsiifiline pahavaraoht, mis lukustab ohvrite andmed, krüpteerides suure hulga faile, muutes need kasutuskõlbmatuks ja ligipääsmatuks. Lexuse taga olevate küberkurjategijate peamine eesmärk on ohvreid välja pressida, nõudes nende failide taastamise võimaluse eest lunaraha. Lisaks krüptimisele nimetab Lexus ka failid ümber ja genereerib kaks lunaraha: "info.txt" ja "info.hta". Turvauurijad on tuvastanud, et Lexus Ransomware on Phobos Ransomware perekonna variant.
Failide ümbernimetamisel lisab Lexus ohvri ID, e-posti aadressi 'emily.florez@zohomail.com' ja. Algsete failinimede laiendus "Lexus". Näiteks „1.doc” muutub „1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus” ja „2.pdf” muutub väärtuseks „2.pdf.id[9ECFA74E” -3506].[emily.florez@zohomail.com].Lexus'.
Sisukord
Lexuse lunavara püüab ohvritelt lunaraha välja pressida
Lexus Ransomware'i lunarahateade annab ohvrile teada, et ründajad on nende andmed krüpteerinud ja väljafiltreerinud. Oma andmetele juurdepääsu taastamiseks peavad ohvrid hankima küberkurjategijate pakutava spetsiaalse dekrüpteerimistarkvara. Märkus hoiatab, et andmete iseseisva dekrüpteerimise katse või kolmanda osapoole tarkvara kasutamine võib viia andmete püsiva kadumiseni. Lisaks lubab märkus, et maksmisel andmed kustutatakse ja neid ei müüda ega kasutata kurjalt.
Märkus aga ähvardab ka, et kui ohver kahe päeva jooksul ei vasta, jagatakse väljafiltreeritud andmeid huvilistega. See pakub ründajatega suhtlemiskanalitena kahte e-posti aadressi (emily.florez@zohomail.com ja barbara.li@gmx.com) ning ei soovita krüptitud faile ümber nimetada.
Küberkurjategijad kasutavad sageli Phobose lunavara perekonda
Phobose perekonna lunavara on kurikuulus nii kohalike kui ka võrgus jagatud failide krüptimise, tulemüüride keelamise ja Shadow Volume Copiete kustutamise poolest. Need variandid levivad tavaliselt ebaturvaliste kaugtöölauaprotokolli (RDP) teenuste kaudu.
Nakatunud süsteemis oma kohaloleku säilitamiseks dubleerivad Phobos Ransomware variandid end kindlatesse kataloogidesse ja registreerivad end Windowsi registris määratud Run-võtmetega. Samuti koguvad nad asukohaandmeid ja võivad teatud asukohad krüpteerimisprotsessist välja jätta.
Kasutage pahavara ja lunavara vastu kõikehõlmavat turvalisust
Pahavara ja lunavara vastu tõhusaks kaitseks peaksid kasutajad kasutama kõikehõlmavat turvalisust, mis hõlmab järgmisi meetmeid.
Regulaarsed varukoopiad :
Sagedased varukoopiad: varundage regulaarselt kõik olulised andmed välistele draividele või pilvesalvestusele. Veenduge, et varukoopiaid hoitakse võrguühenduseta või turvalises kauges kohas, et vältida nende ohtu sattumist rünnaku ajal.
Testi taastamist: võimalusel testige perioodiliselt taastamisprotsessi, et veenduda, et varukoopiad toimivad õigesti ja andmeid saab taastada.
Kaasaegne tarkvara :
Operatsioonisüsteemi värskendused: hoidke nii operatsioonisüsteemi kui ka installitud tarkvara uusimate paikadega ajakohasena.
Automaatsed värskendused: lubage võimalusel automaatsed värskendused, et tagada turvapaikade õigeaegne rakendamine.
Tugev turvatarkvara :
Pahavaratõrje: installige mainekas pahavaratõrjetarkvara, mis pakub reaalajas kaitset ohtude eest.
Tulemüüri kaitse: kasutage tugevat tulemüüri, et blokeerida volitamata juurdepääs oma võrgule ja süsteemidele.
Turvaline konfiguratsioon :
Piirake RDP juurdepääsu: keelake Remote Desktop Protocol (RDP), kui seda pole vaja, või kaitske seda tugevate paroolide, mitmefaktorilise autentimise (MFA) ja juurdepääsu piiramisega virtuaalse privaatvõrgu (VPN) kaudu.
Väiksemate privileegide põhimõte: rakendage vähimate privileegide põhimõtet, piirates kasutaja juurdepääsuõigusi nende rolli jaoks vajaliku miinimumini.
E-post ja veebiturvalisus :
Meilide filtreerimine: andmepüügimeilide ja pahatahtlike manuste blokeerimiseks kasutage meilifiltreerimislahendusi.
Veebifiltreerimine: rakendage veebifiltreerimist, et piirata juurdepääsu teadaolevatele pahatahtlikele veebisaitidele ja vältida allalaadimist.
Kasutajate haridus ja teadlikkus :
Haridusprogrammid: viige läbi regulaarseid koolitusi, et teavitada kasutajaid pahavara ja lunavara ohtudest, sealhulgas andmepüügikatsete tuvastamise ja ohtlike tegevuste vältimiseks.
Simuleeritud rünnakud : sooritage simuleeritud andmepüügirünnakuid, et testida ja parandada kasutajateadlikkust.
Integreerides need meetmed kõikehõlmavasse turvastrateegiasse, saavad kasutajad märkimisväärselt tõhustada oma kaitset pahavara ja lunavara vastu, vähendades nakatumise ohtu ja vähendades võimalike rünnete mõju.
Lexus Ransomware'i jäetud lunarahateatise täistekst on järgmine:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
