Multi-License Discount Quote
پایگاه داده تهدید Ransomware باج افزار Dxen

باج افزار Dxen

تا Mezo در Ransomware
ترجمه به:
فارسی

محققان Infosec اخیراً یک تهدید باج افزار جدید به نام Dxen را کشف کرده اند. این نوع بدافزار با رمزگذاری فایل‌ها در دستگاه آلوده و سپس درخواست پرداخت از قربانی برای رمزگشایی عمل می‌کند. پس از نفوذ موفقیت آمیز به یک دستگاه، Dxen فرآیند رمزگذاری را آغاز می کند و نام فایل های ذخیره شده در سیستم را تغییر می دهد. نام فایل های اصلاح شده عبارتند از:

  • یک شناسه منحصر به فرد به قربانی اختصاص داده می شود.
  • آدرس ایمیل مهاجمان
  • پسوند '.dxen'.

برای مثال، فایلی با نام اصلی "1.jpg" ممکن است به "1.jpg.id[9ECFA74E-3536] تبدیل شود.[vinsulan@tutanota.com].dxen."

پس از تکمیل فرآیند رمزگذاری، Dxen یادداشت های باج ارائه شده به قربانیان را از طریق یک پنجره پاپ آپ ('info.hta') و یک فایل متنی ('info.txt') تولید می کند. این فایل ها به صورت استراتژیک در همه دایرکتوری های رمزگذاری شده و روی دسکتاپ قرار می گیرند تا از دید کاربر آسیب دیده اطمینان حاصل کنند. قابل ذکر است، Dxen به عنوان یک نوع از خانواده باج افزار Phobos تایید شده است که نشان دهنده ارتباط با این نوع خاص از نرم افزارهای تهدید کننده است.

باج افزار Dxen به دنبال اخاذی از قربانیان خود است

فایل متنی تولید شده توسط باج‌افزار Dxen به قربانی اطلاع می‌دهد که داده‌هایش تحت رمزگذاری قرار گرفته‌اند و از آنها می‌خواهد برای تسهیل فرآیند رمزگشایی با مهاجمان تماس برقرار کنند. علاوه بر این، پنجره پاپ آپ همراه جزئیات بیشتری در مورد آلودگی باج افزار ارائه می دهد و مشخص می کند که فرآیند رمزگشایی نیاز به پرداخت باج در ارز دیجیتال بیت کوین دارد. در حالی که مقدار دقیق باج نامشخص باقی مانده است، ظاهراً بستگی به سرعت تماس قربانی با آن دارد. قابل ذکر است، قبل از تعهد به پرداخت باج، به قربانی این فرصت داده می‌شود که فرآیند رمزگشایی را بر روی حداکثر پنج فایل بدون هیچ هزینه‌ای آزمایش کند.

یادداشت باج با هشدارهای احتیاطی به قربانی خاتمه می یابد. به طور خاص، توصیه می‌کند از تغییر نام فایل‌های رمزگذاری‌شده یا تلاش برای استفاده از نرم‌افزار رمزگشایی شخص ثالث خودداری کنید، زیرا چنین اقداماتی می‌تواند منجر به از دست رفتن دائمی داده‌ها شود. این جزئیات بر تاکتیک‌های اجباری استفاده شده توسط باج‌افزار Dxen تاکید می‌کند و بر خطرات مالی و عملیاتی قربانیانی که ممکن است مجبور شوند برای دسترسی مجدد به داده‌های رمزگذاری‌شده خود، مجبور شوند با مهاجمان درگیر شوند، تأکید می‌کند.

باج افزار Dxen چندین گزینه بازیابی را خاموش می کند

Dxen، به عنوان بخشی از خانواده باج‌افزار فوبوس، ویژگی‌هایی را با سایر برنامه‌های این گروه به اشتراک می‌گذارد، و در درجه اول فایل‌های محلی و اشتراک‌گذاری شده در شبکه را برای رمزگذاری هدف قرار می‌دهد. قابل‌توجه، دستگاه‌های آلوده همچنان فعال هستند، زیرا فایل‌های سیستم حیاتی عمداً از فرآیند رمزگذاری در امان می‌مانند. برای جلوگیری از استثناهای ناشی از فایل‌هایی که «در حال استفاده» در نظر گرفته می‌شوند، Dxen فرآیندهای مرتبط با فایل‌های باز، مانند برنامه‌های پایگاه داده و خواننده‌های فایل متنی را خاتمه می‌دهد.

برای جلوگیری از رمزگذاری مضاعف فایل‌هایی که قبلاً به خطر افتاده‌اند، برنامه‌های باج‌افزار Phobos فهرستی از انواع باج‌افزار را نگه می‌دارند. با این حال، این استراتژی بی‌خطا نیست، زیرا همه بدافزارهای رمزگذاری داده موجود را در بر نمی‌گیرد. علاوه بر این، این برنامه‌های باج‌افزار اقداماتی را برای از بین بردن امکان بازیابی فایل با پاک کردن کپی‌های حجم سایه انجام می‌دهند.

پایداری توسط بدافزار Phobos از طریق خود تکراری در مسیر %LOCALAPPDATA% و ثبت با کلیدهای Run خاص تضمین می‌شود. در نتیجه، باج‌افزار پس از هر بار راه‌اندازی مجدد سیستم، به‌طور خودکار شروع به کار می‌کند و از حضور ثابت در دستگاه آلوده اطمینان می‌دهد.

علاوه بر این، باج‌افزار فوبوس با جمع‌آوری داده‌های موقعیت جغرافیایی، قابلیت نگران‌کننده‌ای از خود نشان می‌دهد و به مهاجمان اجازه می‌دهد تا قابلیت ادامه عفونت را ارزیابی کنند. انگیزه پشت این حملات می تواند تحت تأثیر عوامل ژئوپلیتیک، قدرت اقتصادی منطقه یا سایر ملاحظات استراتژیک باشد که ماهیت چند وجهی تهدید ناشی از باج افزار در خانواده فوبوس را برجسته می کند.

از دستورالعمل های به جا مانده از مجرمان سایبری پیروی نکنید

محققان امنیتی تاکید می کنند که رمزگشایی داده های رمزگذاری شده توسط تهدیدات باج افزار معمولاً یک کار پیچیده بدون دخالت مجرمان سایبری است. علاوه بر این، حتی زمانی که قربانیان از درخواست‌های باج تبعیت می‌کنند، اغلب ابزارهای رمزگشایی وعده داده شده را دریافت نمی‌کنند. در نتیجه، کارشناسان به شدت نسبت به پرداخت باج هشدار می‌دهند، زیرا نه تنها بازیابی اطلاعات را تضمین نمی‌کند، بلکه فعالیت‌های غیرقانونی را نیز تداوم می‌بخشد و پشتیبانی می‌کند.

برای متوقف کردن رمزگذاری داده های اضافی توسط باج افزار، نرم افزار ناامن باید به طور کامل از سیستم عامل حذف شود. با این حال، مهم است که توجه داشته باشید که حذف باج افزار به طور خودکار فایل های رمزگذاری شده را بازیابی نمی کند. تنها راه حل قابل اجرا بازیابی فایل ها از یک نسخه پشتیبان ایجاد شده قبلی است، به شرطی که وجود داشته باشد و در مکانی جداگانه ذخیره شود.

برای افزایش ایمنی کلی داده‌ها، کارشناسان توصیه می‌کنند که یک رویکرد پیشگیرانه با حفظ پشتیبان‌گیری در مکان‌های مختلف و متمایز اتخاذ کنید. این می‌تواند شامل سرورهای راه دور، دستگاه‌های ذخیره‌سازی بدون وصل و سایر رسانه‌های امن باشد، و تضمین می‌کند که بازیابی اطلاعات در صورت حمله باج‌افزار، گزینه‌ای ممکن باقی می‌ماند. این استراتژی جامع به کاهش خطرات مرتبط با باج افزار کمک می کند و بر اهمیت یک سیستم پشتیبان قوی در حفاظت از داده های ارزشمند تأکید می کند.

یادداشت باج‌گیری اصلی که به قربانیان باج‌افزار Dnex تحویل داده می‌شود:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

فایل های متنی تولید شده توسط Dnex Ransomware حاوی پیام زیر است:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
34,392
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...