Multi-License Discount Quote
위협 데이터베이스 Ransomware Dxen 랜섬웨어

Dxen 랜섬웨어

Ransomware년에 Mezo 년까지
번역 :
한국어

Infosec 연구원들은 최근 Dxen으로 알려진 새로운 랜섬웨어 위협을 발견했습니다. 이러한 유형의 맬웨어는 감염된 장치의 파일을 암호화한 다음 피해자에게 암호 해독에 대한 비용을 요구하는 방식으로 작동합니다. 장치에 성공적으로 침투하면 Dxen은 암호화 프로세스를 시작하여 시스템에 저장된 파일 이름을 변경합니다. 수정된 파일 이름은 다음과 같습니다.

  • 피해자에게는 고유 식별자가 할당됩니다.
  • 공격자의 이메일 주소입니다.
  • '.dxen' 확장자.

예를 들어 원래 이름이 '1.jpg'인 파일이 '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen'으로 변환될 수 있습니다.

암호화 프로세스가 완료된 후 Dxen은 팝업 창('info.hta')과 텍스트 파일('info.txt')을 통해 피해자에게 표시되는 랜섬 노트를 생성합니다. 이러한 파일은 영향을 받는 사용자에게 가시성을 보장하기 위해 모든 암호화된 디렉터리와 데스크탑에 전략적으로 배치됩니다. 특히, Dxen은 Phobos 랜섬웨어 제품군에서 유래한 변종으로 확인되었으며, 이는 위협적인 소프트웨어의 특정 변종과의 연관성을 나타냅니다.

피해자로부터 돈을 갈취하려는 Dxen 랜섬웨어

Dxen 랜섬웨어에 의해 생성된 텍스트 파일은 피해자에게 데이터가 암호화되었음을 알리고 암호 해독 프로세스를 용이하게 하기 위해 공격자와 접촉하도록 촉구합니다. 이 외에도 함께 제공되는 팝업 창에서는 랜섬웨어 감염에 대한 추가 세부 정보를 제공하며, 암호 해독 프로세스에는 비트코인 암호화폐로 몸값을 지불해야 한다고 명시합니다. 정확한 몸값은 명시되지 않았지만 피해자가 연락을 시작하는 신속성에 따라 결정되는 것으로 알려졌습니다. 특히, 몸값 지불을 약속하기 전에 피해자에게는 무료로 최대 5개의 파일에 대한 암호 해독 프로세스를 테스트할 수 있는 기회가 부여됩니다.

랜섬노트는 피해자에게 경고하는 내용으로 마무리됩니다. 특히, 암호화된 파일의 이름을 바꾸거나 타사 암호 해독 소프트웨어를 사용하려고 시도하는 것은 잠재적으로 영구적인 데이터 손실을 초래할 수 있으므로 권장하지 않습니다. 이러한 세부 정보는 Dxen 랜섬웨어가 사용하는 강압적인 전술을 강조하며 암호화된 데이터에 다시 액세스하기 위해 공격자와 협력해야 하는 피해자가 직면할 수 있는 재정적 및 운영적 위험을 강조합니다.

Dxen 랜섬웨어는 여러 복구 옵션을 종료합니다

Phobos 랜섬웨어 제품군의 일부인 Dxen은 이 그룹 내의 다른 프로그램과 특성을 공유하며 주로 암호화를 위해 로컬 및 네트워크 공유 파일을 모두 대상으로 합니다. 특히 중요한 시스템 파일은 의도적으로 암호화 프로세스에서 제외되므로 감염된 장치는 계속 작동합니다. '사용 중'으로 간주되는 파일로 인한 예외를 방지하기 위해 Dxen은 데이터베이스 프로그램 및 텍스트 파일 판독기와 같은 열린 파일과 관련된 프로세스를 종료합니다.

이전에 손상된 파일을 이중 암호화하는 것을 방지하기 위해 Phobos 랜섬웨어 프로그램은 랜섬웨어 유형 목록을 유지합니다. 그러나 이 전략은 기존의 모든 데이터 암호화 악성 코드를 포괄하지 않기 때문에 완벽하지는 않습니다. 또한 이러한 랜섬웨어 프로그램은 쉐도우 볼륨 복사본을 삭제하여 파일 복구 가능성을 제거하는 조치를 취합니다.

Phobos 악성코드는 %LOCALAPPDATA% 경로에 대한 자체 복제와 특정 Run 키 등록을 통해 지속성을 보장합니다. 결과적으로 랜섬웨어는 시스템을 재부팅할 때마다 자동으로 시작되어 감염된 장치에 지속적으로 존재하게 됩니다.

또한, Phobos 랜섬웨어는 지리적 위치 데이터를 수집하여 공격자가 감염 진행 가능성을 평가할 수 있는 우려되는 기능을 보여줍니다. 이러한 공격의 동기는 지정학적 요인, 해당 지역의 경제력 또는 기타 전략적 고려 사항의 영향을 받을 수 있으며, 이는 Phobos 계열 내에서 랜섬웨어가 제기하는 위협의 다면적인 특성을 강조합니다.

사이버 범죄자가 남긴 지시를 따르지 마십시오

보안 연구원들은 랜섬웨어 위협으로 암호화된 데이터의 암호 해독은 일반적으로 사이버 범죄자의 개입 없이는 복잡한 작업이라고 강조합니다. 게다가 피해자가 몸값 요구에 응하더라도 약속된 암호 해독 도구를 받지 못하는 경우가 많습니다. 따라서 전문가들은 몸값 지불에 대해 강력히 경고합니다. 몸값 지불은 데이터 복구를 보장하지 못할 뿐만 아니라 불법 활동을 영속화하고 지원하기 때문입니다.

랜섬웨어에 의한 추가 데이터 암호화를 중단하려면 안전하지 않은 소프트웨어를 운영 체제에서 완전히 제거해야 합니다. 그러나 랜섬웨어 자체를 제거한다고 해서 암호화된 파일이 자동으로 복원되지는 않는다는 점에 유의하는 것이 중요합니다. 적용 가능한 유일한 솔루션은 이전에 생성된 백업이 존재하고 별도의 위치에 저장되어 있는 경우 해당 백업에서 파일을 복구하는 것입니다.

전반적인 데이터 안전을 강화하기 위해 전문가들은 여러 개별 위치에 백업을 유지하여 사전 예방적인 접근 방식을 채택할 것을 권장합니다. 여기에는 원격 서버, 플러그가 뽑힌 저장 장치 및 기타 보안 매체가 포함되어 랜섬웨어 공격이 발생한 경우에도 데이터 복구가 가능한 옵션으로 유지됩니다. 이 포괄적인 전략은 랜섬웨어와 관련된 위험을 완화하는 데 도움이 되며 귀중한 데이터를 보호하는 데 있어 강력한 백업 시스템의 중요성을 강조합니다.

Dnex 랜섬웨어 피해자에게 전달된 주요 랜섬노트는 다음과 같습니다:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Dnex 랜섬웨어에 의해 생성된 텍스트 파일에는 다음 메시지가 포함되어 있습니다:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

트렌드

Ssj4.io

잠재적으로 원하지 않는 프로그램, Browser Hijackers, Rogue Websites
사기성 웹사이트를 조사하는 동안 사이버 보안 전문가는 사용자가 의심스러운 검색 엔진인 ssj4.io를 방문하도록 강요하는 의심스러운 애플리케이션이 포함된 설치 패키지를 식별했습니다. 브라우저 하이재킹 프로그램은 일반적으로 해당 사이트를 홍보하기 위해 브라우저 설정을 조작하지만 이 특별한 경우에는 애플리케이션이 이러한 설정을 변경하지 않았습니다. 그러나...

Jastugoa.top

Rogue Websites, Adware
연구원들은 의심스러운 온라인 플랫폼을 조사하던 중 악성 웹사이트 Jastugoa.top을 발견했습니다. 이 웹사이트는 의심스러운 콘텐츠를 홍보하고 스팸 브라우저 알림 전달을 촉진합니다. 의심스러운 성격에 더해 Jastugoa.top은 사용자를 다른 바람직하지 않은 위치로 리디렉션하여 종종 훨씬 더 신뢰할 수 없는 사이트로 연결하는 기능도 있습니다....

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
63,488
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
51,905
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...