Ransomware Lexus

Il ransomware è un tipo di software minaccioso progettato per impedire l'accesso a un computer o ai dati fino al pagamento di un riscatto. Questa forma di attacco informatico comporta spesso la crittografia dei file della vittima, rendendoli inaccessibili e richiedendo un riscatto per il loro rilascio.

Il Lexus Ransomware è una minaccia malware specifica che blocca i dati delle vittime crittografando un'ampia gamma di file, rendendoli inutilizzabili e inaccessibili. L'obiettivo principale dei criminali informatici dietro Lexus è estorcere alle vittime chiedendo un riscatto per avere la possibilità di ripristinare i propri file. Oltre alla crittografia, Lexus rinomina anche i file e genera due richieste di riscatto, "info.txt" e "info.hta". I ricercatori di sicurezza hanno identificato Lexus Ransomware come una variante della famiglia Phobos Ransomware .

Quando si rinominano i file, Lexus aggiunge l'ID della vittima, l'indirizzo email "emily.florez@zohomail.com" e il file. Estensione "Lexus" ai nomi dei file originali. Ad esempio, "1.doc" diventa "1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus" e "2.pdf" cambia in "2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.

Il ransomware Lexus cerca di estorcere il pagamento del riscatto alle vittime

La richiesta di riscatto del Lexus Ransomware informa la vittima che i suoi dati sono stati crittografati ed esfiltrati dagli aggressori. Per riottenere l'accesso ai propri dati, le vittime devono ottenere uno specifico software di decrittazione fornito dai criminali informatici. La nota avverte che tentare di decrittografare i dati in modo indipendente o utilizzando software di terze parti potrebbe portare alla perdita permanente dei dati. Inoltre, la nota promette che una volta effettuato il pagamento, i dati verranno cancellati e non verranno venduti o utilizzati in modo malvagio.

La nota però minaccia anche che se la vittima non risponde entro due giorni, i dati sottratti verranno condivisi con gli interessati. Fornisce due indirizzi e-mail come canali di comunicazione con gli aggressori (emily.florez@zohomail.com e barbara.li@gmx.com) e sconsiglia di rinominare qualsiasi file crittografato.

La famiglia di ransomware Phobos viene spesso utilizzata dai criminali informatici

Il ransomware della famiglia Phobos è noto per crittografare file locali e condivisi in rete, disabilitare firewall ed eliminare le copie shadow del volume. Queste varianti in genere si diffondono attraverso servizi RDP (Remote Desktop Protocol) non sicuri.

Per mantenere la loro presenza sul sistema infetto, le varianti Phobos Ransomware si duplicano in directory specifiche e si registrano con le chiavi Esegui designate nel registro di Windows. Raccolgono anche dati sulla posizione e possono escludere determinate località dal processo di crittografia.

Adotta un approccio completo alla sicurezza contro malware e ransomware

Per proteggersi efficacemente da malware e ransomware, gli utenti dovrebbero adottare un approccio alla sicurezza completo che includa le seguenti misure:

Backup regolari :

Backup frequenti: esegui regolarmente il backup di tutti i dati importanti su unità esterne o spazio di archiviazione nel cloud. Assicurati che i backup siano conservati offline o in una posizione remota sicura per evitare che vengano compromessi durante un attacco.

Testare i ripristini: se possibile, testare periodicamente il processo di ripristino per confermare che i backup funzionino correttamente e che i dati possano essere recuperati.

Software aggiornato :

Aggiornamenti del sistema operativo: mantieni aggiornato il sistema operativo e qualsiasi software installato con le patch più recenti.

Aggiornamenti automatici: abilita gli aggiornamenti automatici ove possibile per garantire l'applicazione tempestiva delle patch di sicurezza.

Software di sicurezza potente :

Anti-malware: installa un software anti-malware affidabile che offra protezione in tempo reale contro le minacce.

Protezione firewall: utilizza un firewall robusto per bloccare l'accesso non autorizzato alla rete e ai sistemi.

Configurazione sicura :

Limita l'accesso RDP: disabilita il protocollo RDP (Remote Desktop Protocol) se non necessario o proteggilo utilizzando password complesse, autenticazione a più fattori (MFA) e limitando l'accesso tramite una rete privata virtuale (VPN).

Principio del privilegio minimo: attuare il principio del privilegio minimo limitando i diritti di accesso degli utenti al minimo necessario per il loro ruolo.

Sicurezza e-mail e web :

Filtraggio e-mail: utilizza soluzioni di filtraggio e-mail per bloccare e-mail di phishing e allegati dannosi.

Filtraggio Web: implementa il filtro Web per limitare l'accesso a siti Web dannosi noti e impedire download incontrollati.

Educazione e consapevolezza degli utenti :

Programmi di formazione: condurre sessioni di formazione regolari per istruire gli utenti sui pericoli di malware e ransomware, incluso come riconoscere i tentativi di phishing ed evitare pratiche non sicure.

Attacchi simulati : esegui attacchi di phishing simulati per testare e migliorare la consapevolezza dell'utente.

Integrando queste misure in una strategia di sicurezza completa, gli utenti possono migliorare significativamente le proprie difese contro malware e ransomware, riducendo il rischio di infezione e diminuendo l’impatto di eventuali attacchi potenziali.

Il testo completo della richiesta di riscatto lasciata dal Lexus Ransomware è:

'Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'