Multi-License Discount Quote
Draudu datu bāze Ransomware Dxen Ransomware

Dxen Ransomware

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:
Latviešu

Infosec pētnieki nesen atklāja jaunu izspiedējvīrusu draudus, kas pazīstami kā Dxen. Šāda veida ļaunprogrammatūra darbojas, šifrējot failus inficētā ierīcē un pēc tam pieprasot cietušajam samaksu par atšifrēšanu. Pēc veiksmīgas infiltrācijas ierīcē Dxen sāk šifrēšanas procesu, mainot sistēmā saglabāto failu nosaukumus. Modificētie failu nosaukumi ietver:

  • Cietušajam tiek piešķirts unikāls identifikators.
  • Uzbrucēju e-pasta adrese.
  • Paplašinājums ".dxen".

Piemēram, failu ar sākotnējo nosaukumu “1.jpg” var pārveidot par “1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen”.

Pēc šifrēšanas procesa pabeigšanas Dxen ģenerē izpirkuma piezīmes, kas tiek pasniegtas upuriem, izmantojot uznirstošo logu (“info.hta”) un teksta failu (“info.txt”). Šie faili ir stratēģiski izvietoti visos šifrētajos direktorijos un darbvirsmā, lai nodrošinātu redzamību ietekmētajam lietotājam. Proti, Dxen ir apstiprināts kā Phobos Ransomware saimes variants, kas norāda uz saistību ar šo konkrēto apdraudošās programmatūras celmu.

Dxen Ransomware cenšas izspiest naudu no saviem upuriem

Dxen ransomware ģenerētais teksta fails upurim paziņo, ka viņa dati ir šifrēti, un mudina viņus sazināties ar uzbrucējiem, lai atvieglotu atšifrēšanas procesu. Papildus tam pievienotajā uznirstošajā logā ir sniegta sīkāka informācija par infekciju ar izspiedējvīrusu, norādot, ka atšifrēšanas procesā ir jāmaksā izpirkuma maksa Bitcoin kriptovalūtā. Lai gan precīza izpirkuma summa nav precizēta, tā it kā ir atkarīga no tā, cik ātri upuris uzsāk kontaktu. Proti, pirms apņemšanās veikt izpirkuma maksu, upurim tiek dota iespēja bez maksas pārbaudīt atšifrēšanas procesu līdz pieciem failiem.

Izpirkuma vēstule beidzas ar piesardzīgiem brīdinājumiem upurim. Konkrēti, tajā nav ieteikts pārdēvēt šifrētos failus vai mēģināt izmantot trešās puses atšifrēšanas programmatūru, jo šādas darbības var izraisīt neatgriezenisku datu zudumu. Šīs detaļas uzsver piespiedu taktiku, ko izmanto Dxen Ransomware, uzsverot finansiālos un darbības riskus, ar kuriem saskaras upuri, kuri var būt spiesti sazināties ar uzbrucējiem, lai atgūtu piekļuvi saviem šifrētajiem datiem.

Dxen Ransomware izslēdz vairākas atkopšanas iespējas

Dxen, kas ir daļa no Phobos Ransomware saimes, koplieto raksturlielumus ar citām šīs grupas programmām, galvenokārt šifrējot gan lokālos, gan tīklā koplietotos failus. Proti, inficētās ierīces turpina darboties, jo kritiskie sistēmas faili tiek apzināti aiztaupīti no šifrēšanas procesa. Lai novērstu izņēmumus, ko izraisa faili, kas tiek uzskatīti par lietotiem, Dxen pārtrauc procesus, kas saistīti ar atvērtiem failiem, piemēram, datu bāzes programmām un teksta failu lasītājiem.

Lai izvairītos no iepriekš apdraudētu failu dubultas šifrēšanas, Phobos Ransomware programmas uztur izspiedējvīrusu veidu sarakstu. Tomēr šī stratēģija nav droša, jo tā neaptver visu esošo datu šifrēšanas ļaunprātīgo programmatūru. Turklāt šīs izspiedējvīrusa programmas veic pasākumus, lai novērstu failu atkopšanas iespēju, noslaukot ēnu sējuma kopijas.

Noturību nodrošina ļaunprogrammatūra Phobos, veicot pašreplikāciju uz %LOCALAPPDATA% ceļu un reģistrējoties ar noteiktām palaišanas atslēgām. Līdz ar to izspiedējprogrammatūra tiek automātiski palaista pēc katras sistēmas atsāknēšanas, nodrošinot konsekventu klātbūtni inficētajā ierīcē.

Turklāt Phobos Ransomware ir satraucoša iespēja, apkopojot ģeogrāfiskās atrašanās vietas datus, ļaujot uzbrucējiem novērtēt infekcijas turpmākās darbības dzīvotspēju. Šo uzbrukumu motivāciju var ietekmēt ģeopolitiskie faktori, reģiona ekonomiskais spēks vai citi stratēģiski apsvērumi, uzsverot Phobos ģimenes izspiedējvīrusa radīto draudu daudzpusīgo raksturu.

Neievērojiet kibernoziedznieku sniegtos norādījumus

Drošības pētnieki uzsver, ka ar izspiedējvīrusu draudiem šifrēto datu atšifrēšana parasti ir sarežģīts uzdevums bez kibernoziedznieku iesaistīšanas. Turklāt, pat ja upuri izpilda izpirkuma prasības, viņi bieži nesaņem solītos atšifrēšanas rīkus. Līdz ar to eksperti stingri brīdina nemaksāt izpirkuma maksu, jo tā ne tikai negarantē datu atgūšanu, bet arī iemūžina un atbalsta nelikumīgas darbības.

Lai apturētu papildu datu šifrēšanu ar izspiedējvīrusu, nedrošā programmatūra ir pilnībā jāizskauž no operētājsistēmas. Tomēr ir ļoti svarīgi ņemt vērā, ka pašas izpirkuma programmatūras noņemšana automātiski neatjauno šifrētos failus. Vienīgais piemērotais risinājums ir failu atkopšana no iepriekš izveidota dublējuma, ja tāda pastāv un tiek glabāta atsevišķā vietā.

Lai uzlabotu vispārējo datu drošību, eksperti iesaka izmantot proaktīvu pieeju, saglabājot dublējumus vairākās un atšķirīgās vietās. Tas var ietvert attālos serverus, atvienotās atmiņas ierīces un citus drošus nesējus, nodrošinot, ka datu atkopšana joprojām ir iespējama iespēja izspiedējvīrusa uzbrukuma gadījumā. Šī visaptverošā stratēģija palīdz mazināt ar izspiedējvīrusu saistītos riskus un uzsver spēcīgas dublēšanas sistēmas nozīmi vērtīgu datu aizsardzībā.

Galvenā izpirkuma maksa, kas tiek piegādāta Dnex Ransomware upuriem, ir:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Dnex Ransomware ģenerētajos teksta failos ir šāds ziņojums:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
34,392
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...