Lexus Ransomware
תוכנת כופר היא סוג של תוכנה מאיימת שנועדה למנוע גישה למחשב או לנתונים עד לתשלום כופר. צורה זו של מתקפת סייבר כרוכה לרוב בהצפנה של קבצי הקורבן, הפיכתם לבלתי נגישים ודורשת כופר עבור שחרורם.
תוכנת הכופר של Lexus היא איום תוכנה זדונית ספציפית שנועלת את הנתונים של הקורבנות על ידי הצפנת מגוון רחב של קבצים, מה שהופך אותם לבלתי שמישים ובלתי נגישים. המטרה העיקרית של פושעי הסייבר מאחורי לקסוס היא לסחוט קורבנות על ידי דרישת תשלום כופר עבור ההזדמנות לשחזר את התיקים שלהם. מעבר להצפנה, לקסוס גם משנה את שמות הקבצים ויוצרת שני הערות כופר, 'info.txt' ו-'info.hta'. חוקרי אבטחה זיהו את Lexus Ransomware כגרסה של משפחת Phobos Ransomware .
בעת שינוי שמות של קבצים, לקסוס מצרף את תעודת הזהות של הקורבן, את כתובת הדוא"ל 'emily.florez@zohomail.com' ואת. סיומת 'לקסוס' לשמות הקבצים המקוריים. לדוגמה, '1.doc' הופך ל-'1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus', ו-'2.pdf' משתנה ל-'2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
תוכן העניינים
תוכנת הכופר של לקסוס מבקשת לסחוט תשלומי כופר מקורבנות
פתק הכופר מ-Lexus Ransomware מודיע לקורבן שהנתונים שלהם הוצפנו והוצאו על ידי התוקפים. כדי לקבל בחזרה גישה לנתונים שלהם, על הקורבנות להשיג תוכנת פענוח ספציפית שסופקה על ידי פושעי הסייבר. ההערה מזהירה כי ניסיון לפענח את הנתונים באופן עצמאי או באמצעות תוכנת צד שלישי עלול להוביל לאובדן נתונים קבוע. בנוסף, ההערה מבטיחה כי עם התשלום, הנתונים יימחקו ולא יימכרו ולא ייעשה בהם שימוש מרושע.
עם זאת, הפתק גם מאיים כי אם הנפגע לא יגיב תוך יומיים, הנתונים שחולצו ישותפו עם גורמים מעוניינים. היא מספקת שתי כתובות דוא"ל כערוצי תקשורת עם התוקפים (emily.florez@zohomail.com ו-barbara.li@gmx.com) וממליצה לא לשנות את שם הקבצים המוצפנים.
משפחת Phobos Ransomware מנוצלת לעתים קרובות על ידי פושעי סייבר
תוכנות כופר ממשפחת Phobos ידועות לשמצה בהצפנת קבצים מקומיים וקבצים משותפים ברשת, השבתת חומות אש ומחיקת עותקי ה-Shadow Volume. גרסאות אלה מתפשטות בדרך כלל באמצעות שירותי Remote Desktop Protocol (RDP) לא מאובטחים.
כדי לשמור על נוכחותם במערכת הנגועה, גרסאות Phobos Ransomware משכפלות את עצמן לתוך ספריות ספציפיות ונרשמות עם מפתחות הפעלה ייעודיים ברישום של Windows. הם גם אוספים נתוני מיקום ועשויים להוציא מיקומים מסוימים מתהליך ההצפנה.
נקטו בגישת אבטחה מקיפה נגד תוכנות זדוניות ותוכנות כופר
כדי להגן ביעילות מפני תוכנות זדוניות ותוכנות כופר, על המשתמשים לאמץ גישת אבטחה מקיפה הכוללת את האמצעים הבאים:
גיבויים רגילים :
גיבויים תכופים: גבה באופן קבוע את כל הנתונים החשובים לכוננים חיצוניים או לאחסון בענן. ודא שהגיבויים נשמרים במצב לא מקוון או במיקום מאובטח ומרוחק כדי למנוע מהם להיפגע במהלך התקפה.
בדוק שחזורים: במידת האפשר, בדוק מעת לעת את תהליך השחזור כדי לוודא שהגיבויים פועלים כהלכה וניתן לשחזר נתונים.
תוכנה עדכנית :
עדכוני מערכת הפעלה: עדכנו את מערכת ההפעלה כמו גם כל תוכנה מותקנת עם התיקונים האחרונים.
עדכונים אוטומטיים: אפשר עדכונים אוטומטיים במידת האפשר כדי להבטיח יישום בזמן של תיקוני אבטחה.
תוכנת אבטחה חזקה :
אנטי-תוכנה זדונית: התקן תוכנת אנטי-זדונית מוכרת שמציעה הגנה בזמן אמת מפני איומים.
הגנת חומת אש: השתמש בחומת אש חזקה כדי לחסום גישה לא מורשית לרשת ולמערכות שלך.
תצורה מאובטחת :
הגבל גישת RDP: השבת פרוטוקול שולחן עבודה מרוחק (RDP) אם אין צורך, או אבטח אותו באמצעות סיסמאות חזקות, אימות רב-גורמי (MFA) והגבלת גישה דרך רשת פרטית וירטואלית (VPN).
עקרון הרשאות הקטנות ביותר: בצע את עיקרון ההרשאות הקטנות ביותר על ידי הגבלת זכויות הגישה של המשתמשים למינימום הדרוש לתפקידם.
דואר אלקטרוני ואבטחת אינטרנט :
סינון דואר אלקטרוני: השתמש בפתרונות סינון דואר אלקטרוני כדי לחסום הודעות דוא"ל דיוג וקבצים מצורפים זדוניים.
סינון אתרים: הטמע סינון אתרים כדי להגביל את הגישה לאתרים זדוניים ידועים ולמנוע הורדות מעבר.
חינוך ומודעות משתמשים :
תוכניות חינוך: ערכו מפגשי הכשרה קבועים כדי ללמד משתמשים לגבי הסכנות של תוכנות זדוניות ותוכנות כופר, כולל כיצד להכיר בניסיונות דיוג ולהימנע משיטות לא בטוחות.
התקפות מדומה : בצע סימולציה של התקפות דיוג כדי לבדוק ולשפר את מודעות המשתמש.
על ידי שילוב אמצעים אלה באסטרטגיית אבטחה מקיפה, משתמשים יכולים לשפר משמעותית את ההגנה שלהם מפני תוכנות זדוניות ותוכנות כופר, להפחית את הסיכון לזיהום ולהקטין את ההשפעה של כל התקפות פוטנציאליות.
הטקסט המלא של הערת הכופר שהותירה תוכנת הכופר של לקסוס הוא:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
