Multi-License Discount Quote
Baza prijetnji Ransomware Dxen Ransomware

Dxen Ransomware

Do Mezo. Ransomware. godine
Prevedi na:
Hrvatski

Istraživači tvrtke Infosec nedavno su otkrili novu prijetnju ransomwarea poznatu kao Dxen. Ova vrsta zlonamjernog softvera radi tako što šifrira datoteke na zaraženom uređaju i zatim od žrtve traži plaćanje za dešifriranje. Nakon uspješne infiltracije u uređaj, Dxen pokreće proces enkripcije, mijenjajući nazive datoteka pohranjenih u sustavu. Izmijenjeni nazivi datoteka uključuju:

  • Žrtvi se dodjeljuje jedinstveni identifikator.
  • E-mail adresa napadača.
  • Ekstenzija '.dxen'.

Na primjer, datoteka izvorno nazvana '1.jpg' može se transformirati u '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Nakon završetka procesa enkripcije, Dxen generira bilješke o otkupnini koje se prikazuju žrtvama kroz skočni prozor ('info.hta') i tekstualnu datoteku ('info.txt'). Te su datoteke strateški smještene u sve šifrirane direktorije i na radnu površinu kako bi se osigurala vidljivost pogođenom korisniku. Naime, Dxen je potvrđen kao varijanta koja potječe iz obitelji Phobos Ransomwarea , što ukazuje na povezanost s ovom posebnom vrstom prijetećeg softvera.

Dxen Ransomware nastoji iznuditi novac od svojih žrtava

Tekstualna datoteka koju generira Dxen ransomware priopćava žrtvi da su njihovi podaci podvrgnuti enkripciji i potiče je da uspostavi kontakt s napadačima kako bi se olakšao proces dešifriranja. Uz to, popratni skočni prozor nudi dodatne pojedinosti o infekciji ransomwareom, navodeći da postupak dešifriranja zahtijeva plaćanje otkupnine u kriptovaluti Bitcoin. Iako je točan iznos otkupnine ostao neodređen, on navodno ovisi o brzini kojom žrtva započne kontakt. Naime, prije nego što se obveže na plaćanje otkupnine, žrtvi se daje mogućnost testiranja procesa dešifriranja na do pet datoteka bez ikakve naknade.

Poruka o otkupnini završava upozoravajućim upozorenjima žrtvi. Konkretno, savjetuje se da se šifriranim datotekama ne preimenuje ili da se pokušava koristiti softver za dešifriranje trećih strana jer bi takve radnje potencijalno mogle dovesti do trajnog gubitka podataka. Ovi detalji naglašavaju taktiku prisile koju upotrebljava Dxen Ransomware, naglašavajući financijske i operativne rizike s kojima se suočavaju žrtve koje bi mogle biti prisiljene stupiti u kontakt s napadačima kako bi ponovno dobile pristup svojim šifriranim podacima.

Dxen Ransomware isključuje nekoliko opcija oporavka

Dxen, kao dio Phobos Ransomware obitelji, dijeli karakteristike s drugim programima unutar ove grupe, primarno ciljajući lokalne i mrežno dijeljene datoteke za šifriranje. Naime, zaraženi uređaji ostaju operativni jer su kritične sistemske datoteke namjerno pošteđene procesa enkripcije. Kako bi spriječio iznimke zbog datoteka koje se smatraju 'u upotrebi', Dxen prekida procese povezane s otvorenim datotekama, kao što su programi baza podataka i čitači tekstualnih datoteka.

Kako bi se izbjeglo dvostruko šifriranje prethodno ugroženih datoteka, programi Phobos Ransomware održavaju popis vrsta ransomwarea. Međutim, ova strategija nije sigurna jer ne obuhvaća sav postojeći zlonamjerni softver za šifriranje podataka. Osim toga, ovi ransomware programi poduzimaju mjere za uklanjanje mogućnosti oporavka datoteka brisanjem kopija u sjeni.

Postojanost osigurava zlonamjerni softver Phobos kroz samoreplikaciju na stazu %LOCALAPPDATA% i registraciju s određenim ključevima Run. Posljedično, ransomware se automatski pokreće nakon svakog ponovnog pokretanja sustava, osiguravajući dosljednu prisutnost na zaraženom uređaju.

Štoviše, Phobos Ransomware pokazuje zabrinjavajuću sposobnost prikupljanjem geolokacijskih podataka, omogućujući napadačima da procijene održivost nastavka infekcije. Na motivaciju iza ovih napada mogu utjecati geopolitički čimbenici, ekonomska snaga regije ili drugi strateški razlozi, naglašavajući višestruku prirodu prijetnje koju predstavlja ransomware unutar obitelji Phobos.

Nemojte slijediti upute kibernetičkih kriminalaca

Istraživači sigurnosti naglašavaju da je dešifriranje podataka kriptiranih prijetnjama ransomwarea obično složen zadatak bez uključivanja kibernetičkih kriminalaca. Nadalje, čak i kada žrtve udovolje zahtjevima za otkupninu, često ne dobiju obećane alate za dešifriranje. Slijedom toga, stručnjaci snažno upozoravaju na plaćanje otkupnine, jer ne samo da ne jamči oporavak podataka, već također održava i podržava nezakonite aktivnosti.

Da biste zaustavili šifriranje dodatnih podataka putem ransomwarea, nesiguran softver mora biti potpuno izbrisan iz operativnog sustava. Međutim, ključno je napomenuti da samo uklanjanje ransomwarea ne vraća automatski kriptirane datoteke. Jedino primjenjivo rješenje je oporaviti datoteke iz prethodno stvorene sigurnosne kopije, pod uvjetom da postoji i da je pohranjena na zasebnom mjestu.

Kako bi se poboljšala ukupna sigurnost podataka, stručnjaci preporučuju usvajanje proaktivnog pristupa održavanjem sigurnosnih kopija na više i različitih lokacija. To može uključivati udaljene poslužitelje, isključene uređaje za pohranu i druge sigurne medije, čime se osigurava da oporavak podataka ostaje moguća opcija u slučaju napada ransomwarea. Ova sveobuhvatna strategija pomaže u ublažavanju rizika povezanih s ransomwareom i naglašava važnost robusnog sigurnosnog sustava u zaštiti vrijednih podataka.

Glavna poruka o otkupnini isporučena žrtvama Dnex Ransomwarea je:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Tekstualne datoteke koje je generirao Dnex Ransomware sadrže sljedeću poruku:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

U trendu

Nagledanije

Učitavam...