Dxen Ransomware
Penyelidik Infosec baru-baru ini telah menemui ancaman perisian tebusan baharu yang dikenali sebagai Dxen. Jenis perisian hasad ini beroperasi dengan menyulitkan fail pada peranti yang dijangkiti dan kemudian menuntut bayaran daripada mangsa untuk penyahsulitan. Setelah berjaya menyusup peranti, Dxen memulakan proses penyulitan, mengubah nama fail yang disimpan pada sistem. Nama fail yang diubah suai termasuk:
- Pengecam unik diberikan kepada mangsa.
- Alamat e-mel penyerang.
- Sambungan '.dxen'.
Sebagai contoh, fail asalnya bernama '1.jpg' boleh ditukar menjadi '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'
Selepas selesai proses penyulitan, Dxen menjana nota tebusan yang dibentangkan kepada mangsa melalui tetingkap timbul ('info.hta') dan fail teks ('info.txt'). Fail-fail ini diletakkan secara strategik dalam semua direktori yang disulitkan dan pada desktop untuk memastikan keterlihatan kepada pengguna yang terjejas. Terutama, Dxen telah disahkan sebagai varian yang berasal dari keluarga Phobos Ransomware , yang menunjukkan sambungan kepada jenis perisian yang mengancam ini.
Isi kandungan
Ransomware Dxen Berusaha Memeluk Wang daripada Mangsanya
Fail teks yang dijana oleh perisian tebusan Dxen memberitahu mangsa bahawa data mereka telah melalui penyulitan dan menggesa mereka untuk menjalin hubungan dengan penyerang untuk memudahkan proses penyahsulitan. Di samping itu, tetingkap pop timbul yang disertakan menawarkan butiran lanjut mengenai jangkitan ransomware, dengan menyatakan bahawa proses penyahsulitan memerlukan pembayaran wang tebusan dalam mata wang kripto Bitcoin. Walaupun jumlah wang tebusan yang tepat tidak dinyatakan, ia kononnya bergantung pada kepantasan mangsa memulakan hubungan. Terutama, sebelum melakukan pembayaran tebusan, mangsa diberi peluang untuk menguji proses penyahsulitan pada sehingga lima fail tanpa sebarang bayaran.
Nota tebusan diakhiri dengan amaran berjaga-jaga kepada mangsa. Secara khusus, ia menasihatkan agar tidak menamakan semula fail yang disulitkan atau cuba menggunakan perisian penyahsulitan pihak ketiga, kerana tindakan sedemikian berpotensi mengakibatkan kehilangan data kekal. Butiran ini menggariskan taktik paksaan yang digunakan oleh Dxen Ransomware, menekankan risiko kewangan dan operasi yang dihadapi oleh mangsa yang mungkin terpaksa terlibat dengan penyerang untuk mendapatkan semula akses kepada data yang disulitkan mereka.
Ransomware Dxen Mematikan Beberapa Pilihan Pemulihan
Dxen, sebagai sebahagian daripada keluarga Phobos Ransomware, berkongsi ciri dengan program lain dalam kumpulan ini, terutamanya menyasarkan kedua-dua fail tempatan dan rangkaian yang dikongsi untuk penyulitan. Terutamanya, peranti yang dijangkiti kekal beroperasi, kerana fail sistem kritikal sengaja dikecualikan daripada proses penyulitan. Untuk mengelakkan pengecualian disebabkan oleh fail yang dianggap 'sedang digunakan,' Dxen menamatkan proses yang dikaitkan dengan fail terbuka, seperti program pangkalan data dan pembaca fail teks.
Untuk mengelakkan penyulitan dua kali fail yang telah terjejas sebelum ini, program Phobos Ransomware mengekalkan senarai jenis perisian tebusan. Walau bagaimanapun, strategi ini tidak mudah, kerana ia tidak merangkumi semua perisian hasad penyulitan data sedia ada. Selain itu, program perisian tebusan ini mengambil langkah untuk menghapuskan kemungkinan pemulihan fail dengan mengelap Salinan Volume Bayangan.
Kegigihan dipastikan oleh perisian hasad Phobos melalui replikasi kendiri ke laluan %LOCALAPPDATA% dan pendaftaran dengan kekunci Run tertentu. Akibatnya, perisian tebusan dimulakan secara automatik selepas setiap but semula sistem, memastikan kehadiran yang konsisten pada peranti yang dijangkiti.
Selain itu, Phobos Ransomware mempamerkan keupayaan yang membimbangkan dengan mengumpul data geolokasi, membolehkan penyerang menilai daya maju meneruskan jangkitan. Motivasi di sebalik serangan ini boleh dipengaruhi oleh faktor geopolitik, kekuatan ekonomi rantau ini, atau pertimbangan strategik lain, yang menonjolkan sifat pelbagai bentuk ancaman yang ditimbulkan oleh perisian tebusan dalam keluarga Phobos.
Jangan Ikuti Arahan yang Ditinggalkan oleh Penjenayah Siber
Penyelidik keselamatan menekankan bahawa penyahsulitan data yang disulitkan oleh ancaman perisian tebusan biasanya merupakan tugas yang kompleks tanpa penglibatan penjenayah siber. Tambahan pula, walaupun mangsa mematuhi tuntutan wang tebusan, mereka sering tidak mendapat alat penyahsulitan yang dijanjikan. Oleh itu, pakar sangat berhati-hati terhadap pembayaran wang tebusan, kerana ia bukan sahaja gagal menjamin pemulihan data tetapi juga mengekalkan dan menyokong aktiviti haram.
Untuk menghentikan penyulitan data tambahan oleh perisian tebusan, perisian yang tidak selamat mesti dihapuskan sepenuhnya daripada sistem pengendalian. Walau bagaimanapun, adalah penting untuk ambil perhatian bahawa penyingkiran perisian tebusan itu sendiri tidak memulihkan fail yang disulitkan secara automatik. Satu-satunya penyelesaian yang boleh digunakan ialah memulihkan fail daripada sandaran yang dibuat sebelum ini, dengan syarat ia wujud dan disimpan di lokasi yang berasingan.
Untuk meningkatkan keselamatan data secara keseluruhan, pakar mengesyorkan agar anda menggunakan pendekatan proaktif dengan mengekalkan sandaran di beberapa lokasi yang berbeza. Ini boleh termasuk pelayan jauh, peranti storan yang dicabut dan medium selamat yang lain, memastikan pemulihan data kekal sebagai pilihan yang boleh dilaksanakan sekiranya berlaku serangan perisian tebusan. Strategi komprehensif ini membantu mengurangkan risiko yang berkaitan dengan perisian tebusan dan menekankan kepentingan sistem sandaran yang teguh dalam melindungi data berharga.
Nota tebusan utama yang dihantar kepada mangsa Dnex Ransomware ialah:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Fail teks yang dijana oleh Dnex Ransomware mengandungi mesej berikut:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
