Lexus Ransomware
A Ransomware egyfajta fenyegető szoftver, amelyet arra terveztek, hogy megakadályozza a számítógéphez vagy az adatokhoz való hozzáférést a váltságdíj kifizetéséig. A kibertámadás ezen formája gyakran magában foglalja az áldozat fájljainak titkosítását, elérhetetlenné téve azokat, és váltságdíjat követelve a kiadásukért.
A Lexus Ransomware egy speciális rosszindulatú program, amely az áldozatok adatait zárolja a fájlok széles körének titkosításával, így használhatatlanná és elérhetetlenné teszi azokat. A Lexus mögött álló kiberbûnözõk elsõdleges célja az áldozatok kizsarolása azáltal, hogy váltságdíjat követelnek a fájljaik visszaállításának lehetõségéért. A titkosításon túl a Lexus átnevezi a fájlokat, és két váltságdíjat generál, az „info.txt” és az „info.hta” fájlt. A biztonsági kutatók a Lexus Ransomware-t a Phobos Ransomware család egyik változataként azonosították.
A fájlok átnevezésekor a Lexus hozzáfűzi az áldozat azonosítóját, az „emily.florez@zohomail.com” e-mail címet és a. „Lexus” kiterjesztése az eredeti fájlnevekhez. Például az „1.doc” a következőre változik: „1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus”, a „2.pdf” pedig „2.pdf.id[9ECFA74E” -3506].[emily.florez@zohomail.com].Lexus'.
Tartalomjegyzék
A Lexus Ransomware váltságdíjat akar kicsikarni az áldozatoktól
A Lexus Ransomware váltságdíj-jegyzete arról tájékoztatja az áldozatot, hogy adatait a támadók titkosították és kiszűrték. Ahhoz, hogy az áldozatok visszaszerezzenek hozzáférést az adataikhoz, speciális dekódoló szoftvert kell beszerezniük, amelyet a kiberbűnözők biztosítottak. A megjegyzés arra figyelmeztet, hogy az adatok önálló visszafejtésének kísérlete vagy harmadik féltől származó szoftverek használata végleges adatvesztéshez vezethet. Ezenkívül a megjegyzés azt ígéri, hogy fizetéskor az adatok törlésre kerülnek, és nem adják el vagy használják fel gonoszul.
A feljegyzés ugyanakkor azzal is fenyeget, hogy ha a sértett két napon belül nem válaszol, a kiszúrt adatokat megosztják az érdeklődőkkel. Két e-mail címet biztosít kommunikációs csatornaként a támadókkal (emily.florez@zohomail.com és barbara.li@gmx.com), és nem tanácsolja a titkosított fájlok átnevezését.
A Phobos Ransomware családot gyakran használják kiberbűnözők
A Phobos családból származó zsarolóprogramok a helyi és a hálózaton megosztott fájlok titkosításáról, a tűzfalak letiltásáról és a Shadow Volume Copies törléséről híresek. Ezek a változatok általában nem biztonságos Remote Desktop Protocol (RDP) szolgáltatásokon keresztül terjednek.
A fertőzött rendszeren való jelenlétük megőrzése érdekében a Phobos Ransomware változatai meghatározott könyvtárakba duplikálják magukat, és a kijelölt Futtatási kulcsokkal regisztrálják magukat a Windows rendszerleíró adatbázisában. Helyadatokat is gyűjtenek, és bizonyos helyeket kizárhatnak a titkosítási folyamatból.
Használjon átfogó biztonsági megközelítést a rosszindulatú programok és a zsarolóprogramok ellen
A rosszindulatú programok és zsarolóprogramok elleni hatékony védelem érdekében a felhasználóknak átfogó biztonsági megközelítést kell alkalmazniuk, amely a következő intézkedéseket tartalmazza:
Rendszeres biztonsági mentések :
Gyakori biztonsági mentések: Rendszeresen készítsen biztonsági másolatot minden fontos adatról külső meghajtókra vagy felhőalapú tárolókra. Gondoskodjon arról, hogy a biztonsági másolatok offline állapotban vagy biztonságos, távoli helyen legyenek, nehogy támadás során veszélybe kerüljenek.
Visszaállítások tesztelése: Ha lehetséges, rendszeresen ellenőrizze a visszaállítási folyamatot, hogy megbizonyosodjon arról, hogy a biztonsági mentések megfelelően működnek, és az adatok helyreállíthatók.
Naprakész szoftver :
Operációs rendszer frissítései: Tartsa naprakészen az operációs rendszert és a telepített szoftvereket a legújabb javításokkal.
Automatikus frissítések: Ha lehetséges, engedélyezze az automatikus frissítéseket, hogy biztosítsa a biztonsági javítások időben történő alkalmazását.
Erős biztonsági szoftver :
Kártevőirtó: Telepítsen jó hírű kártevőirtó szoftvert, amely valós idejű védelmet kínál a fenyegetések ellen.
Tűzfalvédelem: Használjon robusztus tűzfalat a hálózathoz és rendszerekhez való jogosulatlan hozzáférés megakadályozására.
Biztonságos konfiguráció :
Az RDP hozzáférés korlátozása: Ha nincs rá szükség, tiltsa le a Remote Desktop Protocolt (RDP), vagy erős jelszavakkal, többtényezős hitelesítéssel (MFA) és virtuális magánhálózaton (VPN) keresztüli hozzáférés korlátozásával biztosítsa azt.
A legkevesebb jogosultság elve: A legkevesebb jogosultság elvét hajtsa végre úgy, hogy a felhasználói hozzáférési jogokat a szerepkörükhöz szükséges minimumra korlátozza.
E-mail és webes biztonság :
E-mail szűrés: Használjon e-mail-szűrési megoldásokat az adathalász e-mailek és a rosszindulatú mellékletek blokkolására.
Webszűrés: A webszűrés alkalmazása korlátozza az ismert rosszindulatú webhelyekhez való hozzáférést, és megakadályozza az automatikus letöltéseket.
Felhasználói oktatás és tudatosság :
Oktatási programok: Rendszeresen tartson képzéseket, hogy felvilágosítsa a felhasználókat a rosszindulatú programok és a zsarolóprogramok veszélyeiről, beleértve az adathalász kísérletek elismerését és a nem biztonságos gyakorlatok elkerülését.
Szimulált támadások : Végezzen szimulált adathalász támadásokat a felhasználók tudatosságának tesztelése és javítása érdekében.
Ezen intézkedések átfogó biztonsági stratégiába történő integrálásával a felhasználók jelentősen fokozhatják védekezésüket a rosszindulatú és zsarolóprogramokkal szemben, csökkentve ezzel a fertőzés kockázatát és az esetleges támadások hatását.
A Lexus Ransomware által hagyott váltságdíj teljes szövege a következő:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
