Multi-License Discount Quote
Grėsmių duomenų bazė Ransomware Dxen Ransomware

Dxen Ransomware

Autorius Mezo, Ransomware
Versti į:
Lietuvių

„Infosec“ tyrėjai neseniai atskleidė naują „ransomware“ grėsmę, žinomą kaip „Dxen“. Šio tipo kenkėjiškos programos veikia šifruodamos failus užkrėstame įrenginyje ir reikalaudamos iš aukos sumokėti už iššifravimą. Sėkmingai įsiskverbus į įrenginį, Dxen pradeda šifravimo procesą, pakeisdamas sistemoje saugomų failų pavadinimus. Modifikuoti failų pavadinimai apima:

  • Aukai priskiriamas unikalus identifikatorius.
  • Užpuolikų el. pašto adresas.
  • Plėtinys „.dxen“.

Pavyzdžiui, failas, iš pradžių pavadintas „1.jpg“, gali būti paverstas „1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen“.

Užbaigus šifravimo procesą, Dxen sukuria išpirkos raštelius, pateikiamus aukoms per iššokantįjį langą („info.hta“) ir tekstinį failą („info.txt“). Šie failai yra strategiškai patalpinti visuose užšifruotuose kataloguose ir darbalaukyje, kad būtų užtikrintas matomumas paveiktam vartotojui. Pažymėtina, kad Dxen buvo patvirtintas kaip variantas, kilęs iš Phobos Ransomware šeimos, o tai rodo ryšį su šia konkrečia grėsmingos programinės įrangos paderme.

„Dxen Ransomware“ siekia išvilioti pinigus iš savo aukų

Dxen ransomware sugeneruotas tekstinis failas praneša aukai, kad jų duomenys buvo užšifruoti, ir ragina užmegzti ryšį su užpuolikais, kad būtų palengvintas iššifravimo procesas. Be to, pridedamame iššokančiame lange pateikiama daugiau informacijos apie išpirkos reikalaujančią infekciją, nurodant, kad iššifravimo procesas reikalauja sumokėti išpirką Bitcoin kriptovaliuta. Nors tiksli išpirkos suma nenurodyta, ji tariamai priklauso nuo to, kaip greitai auka pradeda kontaktą. Pažymėtina, kad prieš įsipareigojant sumokėti išpirką, aukai suteikiama galimybė be jokio mokesčio išbandyti iššifravimo procesą iki penkių failų.

Išpirkos raštas baigiamas įspėjamaisiais įspėjimais aukai. Tiksliau, nerekomenduojama pervardyti šifruotų failų arba nebandyti naudoti trečiosios šalies iššifravimo programinės įrangos, nes dėl tokių veiksmų gali būti visam laikui prarasti duomenys. Šios detalės pabrėžia „Dxen Ransomware“ taikomą prievartos taktiką, pabrėžiant finansinę ir veiklos riziką, su kuria susiduria aukos, kurios gali būti priverstos bendrauti su užpuolikais, kad atgautų prieigą prie savo užšifruotų duomenų.

„Dxen Ransomware“ išjungia keletą atkūrimo parinkčių

„Dxen“, kaip „Phobos Ransomware“ šeimos dalis, dalijasi charakteristikomis su kitomis šios grupės programomis, visų pirma skirta vietiniams ir tinkle bendrinamiems failams šifruoti. Pažymėtina, kad užkrėsti įrenginiai ir toliau veikia, nes svarbūs sistemos failai sąmoningai nepatenka į šifravimo procesą. Kad būtų išvengta išimčių dėl failų, kurie laikomi „naudojamais“, „Dxen“ nutraukia procesus, susijusius su atidarytais failais, pvz., duomenų bazių programomis ir tekstinių failų skaitytuvais.

Kad būtų išvengta dvigubo anksčiau pažeistų failų šifravimo, Phobos Ransomware programos palaiko išpirkos reikalaujančių programų tipų sąrašą. Tačiau ši strategija nėra patikima, nes ji neapima visų esamų duomenis šifruojančių kenkėjiškų programų. Be to, šios išpirkos reikalaujančios programos imasi priemonių, kad pašalintų failų atkūrimo galimybę nuvalant šešėlines kopijas.

Patvarumą užtikrina Phobos kenkėjiška programa savaime replikuodamasi į %LOCALAPPDATA% kelią ir registruodama tam tikrais paleidimo raktais. Vadinasi, išpirkos reikalaujančios programos automatiškai paleidžiamos po kiekvieno sistemos paleidimo iš naujo, užtikrinant nuoseklų buvimą užkrėstame įrenginyje.

Be to, „Phobos Ransomware“ pasižymi svarbiomis galimybėmis rinkti geografinės vietos duomenis, leidžiančius užpuolikams įvertinti infekcijos tęstinumą. Šių atakų motyvacijai įtakos gali turėti geopolitiniai veiksniai, regiono ekonominė galia ar kiti strateginiai sumetimai, išryškinantys daugialypį išpirkos programų keliamos grėsmės pobūdį Phobos šeimoje.

Nesilaikykite kibernetinių nusikaltėlių nurodymų

Saugumo tyrinėtojai pabrėžia, kad duomenų, užšifruotų išpirkos reikalaujančių programų grėsmių, iššifravimas paprastai yra sudėtinga užduotis, neįtraukiant kibernetinių nusikaltėlių. Be to, net kai aukos laikosi išpirkos reikalavimų, jos dažnai negauna žadėtų iššifravimo įrankių. Todėl ekspertai griežtai perspėja nemokėti išpirkų, nes tai ne tik neužtikrina duomenų atkūrimo, bet ir palaiko bei palaiko nelegalią veiklą.

Norint sustabdyti papildomų duomenų šifravimą iš išpirkos reikalaujančios programos, nesaugi programinė įranga turi būti visiškai pašalinta iš operacinės sistemos. Tačiau labai svarbu pažymėti, kad išpirkos reikalaujančios programos pašalinimas automatiškai neatkuria užšifruotų failų. Vienintelis tinkamas sprendimas yra atkurti failus iš anksčiau sukurtos atsarginės kopijos, jei ji egzistuoja ir yra saugoma atskiroje vietoje.

Siekiant padidinti bendrą duomenų saugą, ekspertai rekomenduoja imtis iniciatyvaus požiūrio, kuriant atsargines kopijas keliose ir skirtingose vietose. Tai gali būti nuotoliniai serveriai, atjungti saugojimo įrenginiai ir kitos saugios laikmenos, užtikrinančios, kad duomenų atkūrimas išliktų įmanomas išpirkos reikalaujančios programinės įrangos atakos atveju. Ši išsami strategija padeda sumažinti riziką, susijusią su išpirkos reikalaujančiomis programomis, ir pabrėžia patikimos atsarginės sistemos svarbą saugant vertingus duomenis.

Pagrindinė išpirkos kupiūra, pristatyta Dnex Ransomware aukoms:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

„Dnex Ransomware“ sugeneruotuose tekstiniuose failuose yra toks pranešimas:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
34,392
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...