Dxen Ransomware
Az Infosec kutatói a közelmúltban egy új, Dxen néven ismert ransomware-fenyegetést fedeztek fel. Ez a fajta rosszindulatú program úgy működik, hogy titkosítja a fájlokat a fertőzött eszközön, majd fizetést követel az áldozattól a visszafejtésért. Sikeres behatolást követően a Dxen elindítja a titkosítási folyamatot, megváltoztatva a rendszeren tárolt fájlok nevét. A módosított fájlnevek a következők:
- Az áldozathoz egyedi azonosító van hozzárendelve.
- A támadók e-mail címe.
- Egy „.dxen” kiterjesztés.
Például egy eredetileg „1.jpg” nevű fájl átalakítható a következőre: „1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen”.
A titkosítási folyamat befejezése után a Dxen váltságdíj-jegyzeteket generál, amelyeket egy felugró ablakon ('info.hta') és egy szöveges fájlon ('info.txt') keresztül mutat be az áldozatoknak. Ezek a fájlok stratégiailag az összes titkosított könyvtárban és az asztalon vannak elhelyezve, hogy az érintett felhasználó számára láthatóak legyenek. Nevezetesen megerősítették, hogy a Dxen a Phobos Ransomware családból származó változata, ami azt jelzi, hogy a fenyegető szoftver e bizonyos törzsével van kapcsolat.
Tartalomjegyzék
A Dxen Ransomware pénzt akar kicsikarni áldozataitól
A Dxen ransomware által generált szöveges fájl közli az áldozattal, hogy adatait titkosították, és felszólítja őket, hogy lépjenek kapcsolatba a támadókkal a visszafejtési folyamat megkönnyítése érdekében. Ezen túlmenően a kísérő felugró ablak további részleteket kínál a ransomware fertőzéssel kapcsolatban, jelezve, hogy a visszafejtési folyamat váltságdíj fizetését teszi szükségessé Bitcoin kriptovalutában. Míg a váltságdíj pontos összegét nem határozták meg, az állítólag attól függ, hogy az áldozat milyen gyorsasággal kezdeményezi a kapcsolatfelvételt. Nevezetesen, mielőtt a váltságdíj fizetésére kötelezné magát, az áldozat lehetőséget kap arra, hogy díjmentesen tesztelje a visszafejtési folyamatot legfeljebb öt fájlon.
A váltságdíjat az áldozat figyelmezető figyelmeztetése zárja. Konkrétan nem javasolja a titkosított fájlok átnevezését vagy harmadik féltől származó visszafejtő szoftverek használatát, mivel az ilyen műveletek végleges adatvesztést okozhatnak. Ezek a részletek aláhúzzák a Dxen Ransomware kényszerítő taktikáját, hangsúlyozva azokat a pénzügyi és működési kockázatokat, amelyekkel az áldozatok szembesülnek, akik kénytelenek kapcsolatba lépni a támadókkal, hogy visszaszerezzenek hozzáférést titkosított adataikhoz.
A Dxen Ransomware számos helyreállítási lehetőséget leállít
A Dxen a Phobos Ransomware család részeként megosztja a jellemzőket a csoport más programjaival, elsősorban a helyi és a hálózaton megosztott fájlokat célozza meg titkosítás céljából. A fertőzött eszközök továbbra is működőképesek maradnak, mivel a kritikus rendszerfájlokat szándékosan megkímélik a titkosítási folyamattól. A „használatban”-nak tekintett fájlok miatti kivételek elkerülése érdekében a Dxen leállítja a nyitott fájlokhoz kapcsolódó folyamatokat, például az adatbázis-programokat és a szövegfájl-olvasókat.
A korábban feltört fájlok kettős titkosításának elkerülése érdekében a Phobos Ransomware programok listát vezetnek a ransomware típusokról. Ez a stratégia azonban nem tévedésbiztos, mivel nem terjed ki az összes létező adattitkosító rosszindulatú szoftverre. Ezenkívül ezek a zsarolóprogramok intézkedéseket tesznek a fájlok helyreállításának lehetőségének kiküszöbölésére az árnyékkötet másolatainak törlésével.
A fennmaradást a Phobos rosszindulatú program biztosítja a %LOCALAPPDATA% elérési útra való önreplikáció és a meghatározott Run kulcsokkal történő regisztráció révén. Következésképpen a zsarolóprogram minden rendszer újraindítása után automatikusan elindul, biztosítva a folyamatos jelenlétet a fertőzött eszközön.
Ezenkívül a Phobos Ransomware aggodalomra ad okot azáltal, hogy geolokációs adatokat gyűjt, lehetővé téve a támadók számára, hogy felmérjék a fertőzés életképességét. A támadások mögött meghúzódó motivációt geopolitikai tényezők, a régió gazdasági ereje vagy más stratégiai megfontolások befolyásolhatják, kiemelve a ransomware által a Phobos családon belüli fenyegetés sokrétű természetét.
Ne kövesse a kiberbűnözők utasításait
Biztonsági kutatók hangsúlyozzák, hogy a ransomware fenyegetések által titkosított adatok visszafejtése jellemzően összetett feladat, kiberbűnözők bevonása nélkül. Továbbá, még ha az áldozatok teljesítik is a váltságdíjat, gyakran nem kapják meg a megígért visszafejtő eszközöket. Ezért a szakértők határozottan óvakodnak a váltságdíjak kifizetésétől, mivel az nemcsak nem garantálja az adatok helyreállítását, hanem állandósítja és támogatja az illegális tevékenységeket.
A további adatok ransomware általi titkosításának leállításához a nem biztonságos szoftvert teljesen ki kell törölni az operációs rendszerből. Fontos azonban megjegyezni, hogy a ransomware eltávolítása önmagában nem állítja vissza automatikusan a titkosított fájlokat. Az egyetlen alkalmazható megoldás a fájlok visszaállítása egy korábban létrehozott biztonsági másolatból, feltéve, hogy az létezik és külön helyen van tárolva.
Az általános adatbiztonság fokozása érdekében a szakértők azt javasolják, hogy proaktív megközelítést alkalmazzanak a biztonsági mentések több és különálló helyen történő fenntartásával. Ide tartozhatnak távoli szerverek, leválasztott tárolóeszközök és más biztonságos médiumok, amelyek biztosítják, hogy az adatok helyreállítása továbbra is megvalósítható lehetőség maradjon zsarolóvírus-támadás esetén. Ez az átfogó stratégia segít csökkenteni a zsarolóvírusokkal kapcsolatos kockázatokat, és hangsúlyozza a robusztus biztonsági mentési rendszer fontosságát az értékes adatok védelmében.
A Dnex Ransomware áldozatainak szállított fő váltságdíj a következő:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
A Dnex Ransomware által generált szövegfájlok a következő üzenetet tartalmazzák:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
