Dxen Ransomware

חוקרי Infosec חשפו לאחרונה איום חדש של תוכנת כופר המכונה Dxen. סוג זה של תוכנות זדוניות פועל על ידי הצפנת קבצים במכשיר נגוע ולאחר מכן דרישה לתשלום מהקורבן עבור פענוח. לאחר שהצליחה לחדור למכשיר, Dxen יוזמת את תהליך ההצפנה, ומשנה את שמות הקבצים המאוחסנים במערכת. שמות הקבצים שהשתנו כוללים:

• מזהה ייחודי מוקצה לקורבן.
• כתובת המייל של התוקפים.
• סיומת '.dxen'.

לדוגמה, קובץ שנקרא במקור '1.jpg' עשוי להשתנות ל-'1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

לאחר השלמת תהליך ההצפנה, Dxen מייצר פתקי כופר המוצגים לקורבנות דרך חלון מוקפץ ('info.hta') וקובץ טקסט ('info.txt'). קבצים אלה ממוקמים באופן אסטרטגי בכל הספריות המוצפנות ועל שולחן העבודה כדי להבטיח נראות למשתמש המושפע. יש לציין ש-Dxen אושרה כגרסה שמקורה במשפחת Phobos Ransomware , מה שמצביע על קשר לזן המסוים הזה של תוכנה מאיימת.

תוכנת הכופר של Dxen מבקשת לסחוט כסף מקורבנותיה

קובץ הטקסט שנוצר על ידי תוכנת הכופר Dxen מתקשר לקורבן שהנתונים שלו עברו הצפנה וקורא להם ליצור קשר עם התוקפים כדי להקל על תהליך הפענוח. בנוסף לכך, החלון המוקפץ הנלווה מציע פרטים נוספים בנוגע להדבקה בתוכנת הכופר, תוך ציון שתהליך הפענוח מחייב תשלום כופר במטבע קריפטו של ביטקוין. בעוד שסכום הכופר המדויק נותר לא מוגדר, הוא מותנה לכאורה בזריזות שבה הקורבן יוצר קשר. יש לציין כי לפני התחייבות לתשלום הכופר, ניתנת לקורבן ההזדמנות לבדוק את תהליך הפענוח על עד חמישה קבצים ללא כל תשלום.

שטר הכופר מסתיים באזהרות אזהרה לקורבן. באופן ספציפי, היא ממליצה לא לשנות את השם של הקבצים המוצפנים או לנסות להשתמש בתוכנת פענוח של צד שלישי, שכן פעולות כאלה עלולות לגרום לאובדן נתונים קבוע. פרטים אלה מדגישים את טקטיקות הכפייה של תוכנת הכופר של Dxen, תוך שימת דגש על הסיכונים הפיננסיים והתפעוליים העומדים בפני קורבנות שעלולים להיאלץ להתקשר עם התוקפים כדי לקבל חזרה גישה לנתונים המוצפנים שלהם.

תוכנת הכופר של Dxen מכבה מספר אפשרויות שחזור

Dxen, כחלק ממשפחת Phobos Ransomware, חולקת מאפיינים עם תוכניות אחרות בקבוצה זו, בעיקר מכוונת הן לקבצים מקומיים והן לקבצים משותפים ברשת להצפנה. יש לציין כי מכשירים נגועים נשארים פעילים, מכיוון שקובצי מערכת קריטיים נחסכים בכוונה מתהליך ההצפנה. כדי למנוע חריגים עקב קבצים הנחשבים 'בשימוש', Dxen מפסיקה תהליכים הקשורים לקבצים פתוחים, כגון תוכניות מסד נתונים וקוראי קבצי טקסט.

כדי להימנע מהצפנה כפולה של קבצים שנפגעו בעבר, תוכנות Phobos Ransomware מנהלות רשימה של סוגי תוכנות כופר. עם זאת, אסטרטגיה זו אינה חסינת תקלות, מכיוון שהיא אינה מקיפה את כל התוכנות הזדוניות הקיימות להצפנת נתונים. בנוסף, תוכנות הכופר הללו נוקטות באמצעים כדי לבטל את האפשרות של שחזור קבצים על ידי מחיקת עותקי ה-Shadow Volume.

התמדה מובטחת על ידי התוכנה הזדונית של Phobos באמצעות שכפול עצמי לנתיב %LOCALAPPDATA% ורישום עם מפתחות הפעלה ספציפיים. כתוצאה מכך, תוכנת הכופר מופעלת אוטומטית לאחר כל אתחול מחדש של המערכת, מה שמבטיח נוכחות עקבית במכשיר הנגוע.

יתרה מכך, תוכנת הכופר של Phobos מציגה יכולת מדאיגה על ידי איסוף נתוני מיקום גיאוגרפי, המאפשרת לתוקפים להעריך את כדאיות המשך ההדבקה. המוטיבציה מאחורי התקפות אלו יכולה להיות מושפעת מגורמים גיאופוליטיים, חוזק כלכלי של האזור או שיקולים אסטרטגיים אחרים, המדגישים את האופי הרב-גוני של האיום הנשקף מתוכנות הכופר בתוך משפחת פובוס.

אל תפעל לפי ההנחיות שהותירו פושעי סייבר

חוקרי אבטחה מדגישים כי פענוח הנתונים המוצפנים באמצעות איומי כופר הוא בדרך כלל משימה מורכבת ללא מעורבות של פושעי סייבר. יתר על כן, גם כאשר הקורבנות נענים לדרישות כופר, הם לרוב לא מקבלים את כלי הפענוח המובטחים. כתוצאה מכך, מומחים מזהירים בתוקף מתשלום כופר, מכיוון שהוא לא רק לא מצליח להבטיח שחזור נתונים אלא גם מנציח ותומך בפעילויות לא חוקיות.

כדי לעצור את ההצפנה של נתונים נוספים על ידי תוכנות כופר, יש למגר לחלוטין את התוכנה הלא בטוחה ממערכת ההפעלה. עם זאת, חשוב לציין שהסרת תוכנת הכופר עצמה אינה משחזרת אוטומטית קבצים מוצפנים. הפתרון היחיד המתאים הוא שחזור קבצים מגיבוי שנוצר בעבר, בתנאי שהוא קיים ומאוחסן במיקום נפרד.

כדי לשפר את בטיחות הנתונים הכוללת, מומחים ממליצים לאמץ גישה פרואקטיבית על ידי שמירה על גיבויים במקומות מרובים ומובחנים. זה יכול לכלול שרתים מרוחקים, התקני אחסון מנותקים ומדיומים מאובטחים אחרים, המבטיחים ששחזור נתונים יישאר אפשרות ריאלית במקרה של התקפת תוכנת כופר. אסטרטגיה מקיפה זו מסייעת להפחית את הסיכונים הכרוכים בתוכנת כופר ומדגישה את החשיבות של מערכת גיבוי חזקה בשמירה על נתונים יקרי ערך.

הערת הכופר העיקרית שנמסרה לקורבנות של תוכנת הכופר של Dnex היא:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

קבצי הטקסט שנוצרו על ידי Dnex Ransomware מכילים את ההודעה הבאה:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'