Lexus Ransomware
Ransomware yra grėsmingos programinės įrangos tipas, skirtas užkirsti kelią prieigai prie kompiuterio ar duomenų, kol nebus sumokėta išpirka. Ši kibernetinės atakos forma dažnai apima aukos failų šifravimą, todėl jie tampa neprieinami ir reikalaujama išpirkos už jų paleidimą.
„Lexus Ransomware“ yra specifinė kenkėjiškų programų grėsmė, kuri užrakina aukų duomenis užšifruodama daugybę failų, todėl jie tampa netinkami naudoti ir nepasiekiami. Pagrindinis „Lexus“ kibernetinių nusikaltėlių tikslas yra prievartauti aukas, reikalaujant išpirkos už galimybę atkurti jų failus. Be šifravimo, „Lexus“ taip pat pervardija failus ir sugeneruoja du išpirkos užrašus „info.txt“ ir „info.hta“. Saugumo tyrinėtojai nustatė, kad „Lexus Ransomware“ yra „ Phobos Ransomware“ šeimos variantas.
Pervadindama failus, „Lexus“ prideda aukos ID, el. pašto adresą „emily.florez@zohomail.com“ ir. „Lexus“ plėtinys į pradinius failų pavadinimus. Pavyzdžiui, „1.doc“ tampa „1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus“, o „2.pdf“ pakeičiama į „2.pdf.id[9ECFA74E“ -3506].[emily.florez@zohomail.com].Lexus“.
Turinys
„Lexus Ransomware“ siekia iš aukų išvilioti išpirką
„Lexus Ransomware“ išpirkos raštas informuoja auką, kad užpuolikai užšifravo ir išfiltravo jų duomenis. Kad atgautų prieigą prie savo duomenų, aukos turi įsigyti specialią iššifravimo programinę įrangą, kurią teikia kibernetiniai nusikaltėliai. Pastaba įspėja, kad bandant iššifruoti duomenis atskirai arba naudojant trečiosios šalies programinę įrangą, duomenys gali būti prarasti visam laikui. Be to, pastaboje žadama, kad sumokėjus duomenys bus ištrinti ir nebus parduodami ar naudojami nedorai.
Tačiau raštelyje taip pat grasinama, kad nukentėjusiajam per dvi dienas neatsakius, išfiltruotais duomenimis bus dalijamasi su suinteresuotomis šalimis. Jame pateikiami du el. pašto adresai kaip ryšio su užpuolikais kanalai (emily.florez@zohomail.com ir barbara.li@gmx.com) ir nerekomenduojama pervardyti jokių šifruotų failų.
„Phobos Ransomware“ šeima dažnai naudojasi kibernetiniais nusikaltėliais
„Phobos“ šeimos „ransomware“ yra pagarsėjusi tuo, kad šifruoja tiek vietinius, tiek tinkle bendrinamus failus, išjungia užkardas ir ištrina „Shadow Volume Copies“. Šie variantai paprastai plinta per nesaugias nuotolinio darbalaukio protokolo (RDP) paslaugas.
Norėdami išlaikyti savo buvimą užkrėstoje sistemoje, „Phobos Ransomware“ variantai dubliuojasi į konkrečius katalogus ir registruojasi su nurodytais „Run“ raktais „Windows“ registre. Jie taip pat renka vietos duomenis ir gali neįtraukti tam tikrų vietų į šifravimo procesą.
Imkitės visapusiško saugumo metodo prieš kenkėjiškas programas ir išpirkos reikalaujančias programas
Norėdami veiksmingai apsisaugoti nuo kenkėjiškų programų ir išpirkos reikalaujančių programų, vartotojai turėtų laikytis visapusiško saugumo metodo, kuris apima šias priemones:
Įprastos atsarginės kopijos :
Dažnos atsarginės kopijos: reguliariai kurkite visų svarbių duomenų atsargines kopijas išoriniuose diskuose arba debesies saugykloje. Užtikrinkite, kad atsarginės kopijos būtų neprisijungusios arba saugioje, atokioje vietoje, kad jos nebūtų pažeistos atakos metu.
Bandomasis atkūrimas: jei įmanoma, periodiškai patikrinkite atkūrimo procesą, kad įsitikintumėte, jog atsarginės kopijos veikia tinkamai ir ar galima atkurti duomenis.
Naujausia programinė įranga :
Operacinės sistemos naujinimai: atnaujinkite operacinę sistemą ir bet kokią įdiegtą programinę įrangą naudodami naujausius pataisymus.
Automatiniai naujinimai: jei įmanoma, įjunkite automatinius naujinimus, kad užtikrintumėte savalaikį saugos pataisų pritaikymą.
Stipri saugumo programinė įranga :
Apsauga nuo kenkėjiškų programų: įdiekite patikimą apsaugos nuo kenkėjiškų programų programinę įrangą, kuri siūlo apsaugą nuo grėsmių realiuoju laiku.
Apsauga nuo ugniasienės: naudokite tvirtą užkardą, kad užblokuotumėte neteisėtą prieigą prie tinklo ir sistemų.
Saugi konfigūracija :
Apriboti KPP prieigą: išjunkite nuotolinio darbalaukio protokolą (RDP), jei jo nereikia, arba apsaugokite jį naudodami stiprius slaptažodžius, kelių veiksnių autentifikavimą (MFA) ir ribodami prieigą per virtualų privatų tinklą (VPN).
Mažiausių privilegijų principas: vykdykite mažiausios privilegijos principą, apribodami vartotojo prieigos teises iki minimumo, būtino jų vaidmeniui atlikti.
Paštas ir žiniatinklio sauga :
El. pašto filtravimas: naudokite el. pašto filtravimo sprendimus, kad blokuotumėte sukčiavimo el. laiškus ir kenkėjiškus priedus.
Žiniatinklio filtravimas: Įdiekite žiniatinklio filtravimą, kad apribotumėte prieigą prie žinomų kenkėjiškų svetainių ir išvengtumėte atsisiuntimų.
Vartotojų švietimas ir informavimas :
Mokymo programos: reguliariai veskite mokymus, kad mokytumėte naudotojus apie kenkėjiškų programų ir išpirkos reikalaujančių programų pavojus, įskaitant tai, kaip atpažinti sukčiavimo bandymus ir išvengti nesaugios praktikos.
Imituotos atakos : vykdykite imituotas sukčiavimo atakas, kad patikrintumėte ir pagerintumėte vartotojų informuotumą.
Integravę šias priemones į išsamią saugumo strategiją, vartotojai gali žymiai sustiprinti savo apsaugą nuo kenkėjiškų programų ir išpirkos reikalaujančių programų, sumažindami užsikrėtimo riziką ir sumažindami bet kokių galimų atakų poveikį.
Visas Lexus Ransomware palikto išpirkos rašto tekstas yra toks:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
