Lexus Ransomware
Ransomware on eräänlainen uhkaava ohjelmisto, joka on suunniteltu estämään pääsy tietokoneeseen tai tietoihin, kunnes lunnaat on maksettu. Tämä kyberhyökkäysmuoto sisältää usein uhrin tiedostojen salaamisen, jolloin niihin ei päästä käsiksi ja vaaditaan lunnaita niiden vapauttamisesta.
Lexus Ransomware on erityinen haittaohjelmauhka, joka lukitsee uhrien tiedot salaamalla laajan valikoiman tiedostoja tehden niistä käyttökelvottomia ja saavuttamattomia. Lexuksen takana olevien kyberrikollisten ensisijainen tavoite on kiristää uhreja vaatimalla lunnaita mahdollisuudesta palauttaa heidän tiedostonsa. Salauksen lisäksi Lexus myös nimeää tiedostot uudelleen ja luo kaksi lunnaita, 'info.txt' ja 'info.hta'. Tietoturvatutkijat ovat tunnistaneet Lexus Ransomwaren vaihtoehdoksi Phobos Ransomware -perheestä.
Kun tiedostoja nimetään uudelleen, Lexus liittää mukaan uhrin tunnuksen, sähköpostiosoitteen 'emily.florez@zohomail.com' ja 'Lexus' laajennus alkuperäisiin tiedostonimiin. Esimerkiksi 1.doc muuttuu muotoon 1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus, ja 2.pdf muuttuu muotoon 2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Sisällysluettelo
Lexus Ransomware yrittää kiristää lunnaita uhreilta
Lexus Ransomwaren lunnaat ilmoittavat uhrille, että hyökkääjät ovat salaaneet ja suodattaneet hänen tietonsa. Saadakseen takaisin pääsyn tietoihinsa uhrien on hankittava erityinen tietoverkkorikollisten tarjoama salauksenpurkuohjelmisto. Huomautus varoittaa, että tietojen salauksen purkaminen itsenäisesti tai kolmannen osapuolen ohjelmistojen avulla voi johtaa pysyvään tietojen katoamiseen. Lisäksi huomautuksessa luvataan, että maksun yhteydessä tiedot poistetaan, eikä niitä myydä tai käytetä pahalla.
Muistio kuitenkin uhkaa myös, että jos uhri ei vastaa kahden päivän kuluessa, suodatetut tiedot jaetaan asianosaisille. Se tarjoaa kaksi sähköpostiosoitetta viestintäkanavina hyökkääjien kanssa (emily.florez@zohomail.com ja barbara.li@gmx.com) ja suosittelee olemaan nimeämättä uudelleen salattuja tiedostoja.
Kyberrikolliset käyttävät usein Phobos Ransomware -perhettä
Phobos-perheen kiristysohjelmat ovat tunnettuja sekä paikallisten että verkon jaettujen tiedostojen salaamisesta, palomuurien poistamisesta ja Shadow Volume -kopioiden poistamisesta. Nämä versiot leviävät yleensä suojaamattomien RDP (Remote Desktop Protocol) -palvelujen kautta.
Säilyttääkseen läsnäolonsa tartunnan saaneessa järjestelmässä Phobos Ransomware -versiot kopioivat itsensä tiettyihin hakemistoihin ja rekisteröivät nimetyillä Run-avaimilla Windowsin rekisterissä. Ne myös keräävät sijaintitietoja ja voivat sulkea tietyt sijainnit pois salausprosessista.
Ota kattava suojausmenetelmä haittaohjelmia ja kiristysohjelmia vastaan
Suojatakseen tehokkaasti haittaohjelmia ja kiristysohjelmia vastaan käyttäjien tulee omaksua kattava tietoturvalähestymistapa, joka sisältää seuraavat toimenpiteet:
Säännölliset varmuuskopiot :
Säännölliset varmuuskopiot: Varmuuskopioi säännöllisesti kaikki tärkeät tiedot ulkoisille asemille tai pilvitallennustilaan. Varmista, että varmuuskopiot ovat offline-tilassa tai suojatussa etäsijainnissa, jotta ne eivät vaarantuisi hyökkäyksen aikana.
Testaa palautukset: Jos mahdollista, testaa palautusprosessia säännöllisesti varmistaaksesi, että varmuuskopiot toimivat oikein ja että tiedot voidaan palauttaa.
Ajantasainen ohjelmisto :
Käyttöjärjestelmäpäivitykset: Pidä käyttöjärjestelmä ja kaikki asennetut ohjelmistot ajan tasalla uusimmilla korjaustiedostoilla.
Automaattiset päivitykset: Ota automaattiset päivitykset käyttöön mahdollisuuksien mukaan varmistaaksesi tietoturvakorjausten oikea-aikainen asentaminen.
Vahva suojausohjelmisto :
Haittaohjelmien torjunta: Asenna hyvämaineinen haittaohjelmien torjuntaohjelmisto, joka tarjoaa reaaliaikaisen suojan uhkia vastaan.
Palomuurisuojaus: Käytä vahvaa palomuuria estääksesi luvattoman pääsyn verkkoon ja järjestelmiin.
Suojattu kokoonpano :
Rajoita RDP-käyttöä: Poista Remote Desktop Protocol (RDP) käytöstä, jos sitä ei tarvita, tai suojaa se käyttämällä vahvoja salasanoja, monitekijätodennusta (MFA) ja rajoittamalla pääsyä virtuaalisen yksityisen verkon (VPN) kautta.
Vähiten etuoikeuksien periaate: Toteuta vähiten etuoikeuksien periaatetta rajoittamalla käyttäjien käyttöoikeudet heidän roolinsa edellyttämään vähimmäismäärään.
Sähköposti ja verkkoturva :
Sähköpostien suodatus: Käytä sähköpostin suodatusratkaisuja tietojenkalasteluviestien ja haitallisten liitteiden estämiseen.
Web-suodatus: Käytä verkkosuodatusta rajoittaaksesi pääsyä tunnettuihin haitallisiin verkkosivustoihin ja estääksesi lataukset.
Käyttäjien koulutus ja tietoisuus :
Koulutusohjelmat: Järjestä säännöllisiä koulutustilaisuuksia, joissa kerrotaan käyttäjille haittaohjelmien ja kiristysohjelmien vaaroista, mukaan lukien kuinka tunnistaa tietojenkalasteluyritykset ja välttää vaaralliset käytännöt.
Simuloidut hyökkäykset : Suorita simuloituja tietojenkalasteluhyökkäyksiä testataksesi ja parantaaksesi käyttäjien tietoisuutta.
Integroimalla nämä toimenpiteet kattavaksi turvallisuusstrategiaksi käyttäjät voivat parantaa merkittävästi suojautumistaan haittaohjelmia ja kiristysohjelmia vastaan, mikä vähentää tartuntariskiä ja mahdollisten hyökkäysten vaikutusta.
Lexus Ransomwaren jättämän lunnasilmoituksen koko teksti on:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
