Multi-License Discount Quote
Database delle minacce Ransomware Dxen ransomware

Dxen ransomware

Entro Mezo nel Ransomware
Traduci in:
Italiano

I ricercatori di Infosec hanno recentemente scoperto una nuova minaccia ransomware nota come Dxen. Questo tipo di malware funziona crittografando i file su un dispositivo infetto e quindi richiedendo il pagamento alla vittima per la decrittazione. Dopo essersi infiltrato con successo in un dispositivo, Dxen avvia il processo di crittografia, alterando i nomi dei file archiviati nel sistema. I nomi dei file modificati includono:

  • Alla vittima viene assegnato un identificatore univoco.
  • L'indirizzo email degli aggressori.
  • Un'estensione '.dxen'.

Ad esempio, un file originariamente denominato "1.jpg" può essere trasformato in "1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Dopo il completamento del processo di crittografia, Dxen genera richieste di riscatto presentate alle vittime tramite una finestra pop-up ('info.hta') e un file di testo ('info.txt'). Questi file vengono posizionati strategicamente in tutte le directory crittografate e sul desktop per garantire visibilità all'utente interessato. In particolare, Dxen è stato confermato come una variante originaria della famiglia Phobos Ransomware , indicando una connessione con questo particolare ceppo di software minaccioso.

Il ransomware Dxen cerca di estorcere denaro alle sue vittime

Il file di testo generato dal ransomware Dxen comunica alla vittima che i suoi dati sono stati crittografati e la esorta a stabilire un contatto con gli aggressori per facilitare il processo di decrittazione. Oltre a ciò, la finestra pop-up allegata offre ulteriori dettagli sull'infezione del ransomware, specificando che il processo di decrittazione richiede il pagamento di un riscatto in criptovaluta Bitcoin. Anche se l’importo esatto del riscatto non è specificato, dipende presumibilmente dalla tempestività con cui la vittima avvia il contatto. In particolare, prima di impegnarsi a pagare il riscatto, alla vittima viene concessa l'opportunità di testare il processo di decrittazione su un massimo di cinque file senza alcun costo.

La richiesta di riscatto si conclude con avvertimenti alla vittima. Nello specifico, sconsiglia di rinominare i file crittografati o di tentare di utilizzare software di decrittografia di terze parti, poiché tali azioni potrebbero potenzialmente comportare la perdita permanente dei dati. Questi dettagli sottolineano le tattiche coercitive impiegate dal ransomware Dxen, sottolineando i rischi finanziari e operativi affrontati dalle vittime che potrebbero essere costrette a collaborare con gli aggressori per riottenere l'accesso ai propri dati crittografati.

Il ransomware Dxen arresta diverse opzioni di ripristino

Dxen, come parte della famiglia Phobos Ransomware, condivide caratteristiche con altri programmi all'interno di questo gruppo, prendendo di mira principalmente i file locali e condivisi in rete per la crittografia. In particolare, i dispositivi infetti rimangono operativi, poiché i file di sistema critici vengono intenzionalmente risparmiati dal processo di crittografia. Per evitare eccezioni dovute a file considerati "in uso", Dxen termina i processi associati ai file aperti, come programmi di database e lettori di file di testo.

Per evitare la doppia crittografia dei file precedentemente compromessi, i programmi Phobos Ransomware mantengono un elenco di tipi di ransomware. Tuttavia, questa strategia non è infallibile, poiché non comprende tutti i malware esistenti per la crittografia dei dati. Inoltre, questi programmi ransomware adottano misure per eliminare la possibilità di ripristino dei file cancellando le copie shadow del volume.

La persistenza è assicurata dal malware Phobos attraverso l'autoreplicazione al percorso %LOCALAPPDATA% e la registrazione con chiavi Run specifiche. Di conseguenza, il ransomware si avvia automaticamente dopo ogni riavvio del sistema, garantendo una presenza coerente sul dispositivo infetto.

Inoltre, Phobos Ransomware mostra una capacità preoccupante raccogliendo dati di geolocalizzazione, consentendo agli aggressori di valutare la fattibilità di procedere con l’infezione. La motivazione alla base di questi attacchi può essere influenzata da fattori geopolitici, dalla forza economica della regione o da altre considerazioni strategiche, evidenziando la natura multiforme della minaccia posta dal ransomware all’interno della famiglia Phobos.

Non seguire le istruzioni lasciate dai criminali informatici

I ricercatori di sicurezza sottolineano che la decrittazione dei dati crittografati dalle minacce ransomware è in genere un compito complesso senza il coinvolgimento dei criminali informatici. Inoltre, anche quando le vittime soddisfano le richieste di riscatto, spesso non ottengono gli strumenti di decrittazione promessi. Di conseguenza, gli esperti mettono fortemente in guardia dal pagare i riscatti, poiché non solo non garantisce il recupero dei dati, ma perpetua e sostiene anche attività illegali.

Per fermare la crittografia di dati aggiuntivi da parte del ransomware, il software non sicuro deve essere completamente eliminato dal sistema operativo. Tuttavia, è fondamentale notare che la rimozione del ransomware stesso non ripristina automaticamente i file crittografati. L'unica soluzione applicabile è ripristinare i file da un backup creato in precedenza, a condizione che esista e sia archiviato in una posizione separata.

Per migliorare la sicurezza complessiva dei dati, gli esperti consigliano di adottare un approccio proattivo mantenendo i backup in posizioni multiple e distinte. Ciò può includere server remoti, dispositivi di archiviazione scollegati e altri mezzi sicuri, garantendo che il ripristino dei dati rimanga un'opzione fattibile in caso di attacco ransomware. Questa strategia globale aiuta a mitigare i rischi associati al ransomware e sottolinea l’importanza di un solido sistema di backup nella salvaguardia dei dati preziosi.

La principale richiesta di riscatto consegnata alle vittime del Dnex Ransomware è:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

I file di testo generati da Dnex Ransomware contengono il seguente messaggio:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Tendenza

I più visti

Caricamento in corso...