Lexus Ransomware
Ransomware je vrsta prijetećeg softvera osmišljenog za sprječavanje pristupa računalu ili podacima dok se ne plati otkupnina. Ovaj oblik kibernetičkog napada često uključuje enkripciju žrtvinih datoteka, čineći ih nedostupnima i zahtijevajući otkupninu za njihovo puštanje.
Lexus Ransomware je specifična prijetnja zlonamjernim softverom koja zaključava podatke žrtava šifriranjem širokog raspona datoteka, čineći ih neupotrebljivima i nedostupnima. Primarni cilj kibernetičkih kriminalaca koji stoje iza Lexusa je iznuditi žrtve tražeći plaćanje otkupnine za priliku da obnove svoje datoteke. Osim enkripcije, Lexus također preimenuje datoteke i generira dvije bilješke o otkupnini, 'info.txt' i 'info.hta'. Sigurnosni istraživači identificirali su Lexus Ransomware kao varijantu obitelji Phobos Ransomware .
Prilikom preimenovanja datoteka, Lexus dodaje ID žrtve, adresu e-pošte 'emily.florez@zohomail.com' i. Ekstenzija 'Lexus' izvornih naziva datoteka. Na primjer, '1.doc' postaje '1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus', a '2.pdf' se mijenja u '2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Sadržaj
Lexus Ransomware nastoji iznuditi plaćanje otkupnine od žrtava
Poruka o otkupnini iz Lexus Ransomwarea obavještava žrtvu da su napadači šifrirali i eksfiltrirali njihove podatke. Kako bi ponovno dobile pristup svojim podacima, žrtve moraju nabaviti poseban softver za dešifriranje koji su osigurali kibernetički kriminalci. Bilješka upozorava da pokušaj samostalnog dešifriranja podataka ili korištenje softvera treće strane može dovesti do trajnog gubitka podataka. Dodatno, bilješka obećava da će nakon plaćanja podaci biti izbrisani i da se neće prodavati ili zloupotrijebiti.
Međutim, bilješka također prijeti da će, ako žrtva ne odgovori u roku od dva dana, eksfiltrirani podaci biti podijeljeni zainteresiranim stranama. Pruža dvije adrese e-pošte kao komunikacijske kanale s napadačima (emily.florez@zohomail.com i barbara.li@gmx.com) i savjetuje da se ne preimenuju šifrirane datoteke.
Cyberkriminalci često koriste obitelj Phobos Ransomware
Ransomware iz obitelji Phobos poznat je po kriptiranju i lokalnih i mrežnih datoteka, onemogućavanju vatrozida i brisanju kopija u sjeni. Ove se varijante obično šire nesigurnim uslugama protokola udaljene radne površine (RDP).
Kako bi održali svoju prisutnost na zaraženom sustavu, varijante Phobos Ransomwarea dupliciraju se u određene direktorije i registriraju s određenim ključevima Run u registru sustava Windows. Oni također prikupljaju podatke o lokaciji i mogu isključiti određene lokacije iz procesa šifriranja.
Zauzmite sveobuhvatan sigurnosni pristup protiv zlonamjernog softvera i ucjenjivačkog softvera
Kako bi se učinkovito zaštitili od zlonamjernog softvera i ransomwarea, korisnici bi trebali prihvatiti sveobuhvatan sigurnosni pristup koji uključuje sljedeće mjere:
Redovite sigurnosne kopije :
Česte sigurnosne kopije: Redovito sigurnosno kopirajte sve važne podatke na vanjske diskove ili pohranu u oblaku. Osigurajte da se sigurnosne kopije čuvaju izvan mreže ili na sigurnoj, udaljenoj lokaciji kako biste spriječili da budu ugrožene tijekom napada.
Testirajte obnove: ako je moguće, povremeno testirajte proces obnove kako biste potvrdili da sigurnosne kopije ispravno funkcioniraju i da se podaci mogu vratiti.
Ažurirani softver :
Ažuriranja operativnog sustava: Održavajte operativni sustav kao i bilo koji instalirani softver ažurnim s najnovijim zakrpama.
Automatsko ažuriranje: Omogućite automatsko ažuriranje gdje je to moguće kako biste osigurali pravovremenu primjenu sigurnosnih zakrpa.
Snažan sigurnosni softver :
Anti-malware: Instalirajte renomirani anti-malware softver koji nudi zaštitu od prijetnji u stvarnom vremenu.
Zaštita vatrozidom: Koristite robusni vatrozid za blokiranje neovlaštenog pristupa vašoj mreži i sustavima.
Sigurna konfiguracija :
Ograničite RDP pristup: Onemogućite Remote Desktop Protocol (RDP) ako nije potreban ili ga osigurajte upotrebom jakih lozinki, višefaktorske provjere autentičnosti (MFA) i ograničavanja pristupa putem virtualne privatne mreže (VPN).
Načelo najmanje privilegije: Izvršite načelo najmanje privilegije ograničavanjem korisničkih prava pristupa na minimum potreban za njihovu ulogu.
Sigurnost e-pošte i weba :
Filtriranje e-pošte: koristite rješenja za filtriranje e-pošte za blokiranje phishing e-pošte i zlonamjernih privitaka.
Web filtriranje: Implementirajte web filtriranje kako biste ograničili pristup poznatim zlonamjernim web stranicama i spriječili naglo preuzimanje.
Obrazovanje i svijest korisnika :
Programi edukacije: provodite redovite treninge kako biste educirali korisnike o opasnostima zlonamjernog softvera i ransomwarea, uključujući kako prepoznati pokušaje krađe identiteta i izbjeći nesigurne postupke.
Simulirani napadi : Izvedite simulirane phishing napade kako biste testirali i poboljšali svijest korisnika.
Integracijom ovih mjera u sveobuhvatnu sigurnosnu strategiju, korisnici mogu značajno poboljšati svoju obranu od zlonamjernog softvera i ransomwarea, smanjujući rizik od zaraze i umanjujući utjecaj svih potencijalnih napada.
Potpuni tekst poruke o otkupnini koju je ostavio Lexus Ransomware je:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
