Dxen Ransomware

Med Mezo i Ransomware

Oversett til:

Infosec-forskere har nylig avdekket en ny ransomware-trussel kjent som Dxen. Denne typen skadelig programvare fungerer ved å kryptere filer på en infisert enhet og deretter kreve betaling fra offeret for dekryptering. Etter vellykket infiltrering av en enhet, starter Dxen krypteringsprosessen, og endrer navnene på filene som er lagret på systemet. De endrede filnavnene inkluderer:

En unik identifikator tildeles offeret.
E-postadressen til angriperne.
En '.dxen' utvidelse.

For eksempel kan en fil opprinnelig kalt '1.jpg' transformeres til '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Etter at krypteringsprosessen er fullført, genererer Dxen løsepenger som presenteres for ofrene gjennom et popup-vindu ('info.hta') og en tekstfil ('info.txt'). Disse filene er strategisk plassert i alle krypterte kataloger og på skrivebordet for å sikre synlighet for den berørte brukeren. Spesielt har Dxen blitt bekreftet som en variant som stammer fra Phobos Ransomware- familien, noe som indikerer en forbindelse til denne spesielle stammen av truende programvare.

Innholdsfortegnelse

Dxen Ransomware søker å presse penger fra ofrene

Tekstfilen generert av Dxen-ransomware kommuniserer til offeret at dataene deres har gjennomgått kryptering og oppfordrer dem til å etablere kontakt med angriperne for å lette dekrypteringsprosessen. I tillegg til dette tilbyr det medfølgende popup-vinduet ytterligere detaljer om løsepenge-infeksjonen, og spesifiserer at dekrypteringsprosessen krever betaling av løsepenger i Bitcoin-kryptovaluta. Selv om det eksakte løsepengebeløpet ikke er spesifisert, er det angivelig avhengig av hvor raskt offeret tar kontakt. Spesielt, før den forplikter seg til løsepenger, får offeret muligheten til å teste dekrypteringsprosessen på opptil fem filer uten kostnad.

Løsepengene avsluttes med advarsler til offeret. Spesifikt fraråder den å gi nytt navn til de krypterte filene eller forsøke å bruke tredjeparts dekrypteringsprogramvare, da slike handlinger potensielt kan føre til permanent tap av data. Disse detaljene understreker tvangstaktikkene som brukes av Dxen Ransomware, og understreker de økonomiske og operasjonelle risikoene som ofre står overfor som kan bli tvunget til å engasjere seg med angriperne for å få tilbake tilgang til deres krypterte data.

Dxen Ransomware slår av flere gjenopprettingsalternativer

Dxen, som en del av Phobos Ransomware-familien, deler egenskaper med andre programmer innenfor denne gruppen, primært rettet mot både lokale og nettverksdelte filer for kryptering. Spesielt forblir infiserte enheter operative, ettersom kritiske systemfiler med vilje blir spart fra krypteringsprosessen. For å forhindre unntak på grunn av filer som anses som 'i bruk', avslutter Dxen prosesser knyttet til åpne filer, for eksempel databaseprogrammer og tekstfillesere.

For å unngå dobbeltkryptering av tidligere kompromitterte filer opprettholder Phobos Ransomware-programmene en liste over løsepengevaretyper. Denne strategien er imidlertid ikke idiotsikker, siden den ikke omfatter all eksisterende datakrypterende skadelig programvare. I tillegg tar disse løsepengeprogrammene tiltak for å eliminere muligheten for filgjenoppretting ved å tørke av Shadow Volume Copies.

Persistens er sikret av Phobos malware gjennom selvreplikering til %LOCALAPPDATA%-banen og registrering med spesifikke Run-nøkler. Følgelig starter løsepengevaren automatisk etter hver omstart av systemet, noe som sikrer en konsistent tilstedeværelse på den infiserte enheten.

Dessuten viser Phobos Ransomware en bekymringsfull evne ved å samle geolokaliseringsdata, slik at angriperne kan vurdere levedyktigheten av å fortsette med infeksjonen. Motivasjonen bak disse angrepene kan påvirkes av geopolitiske faktorer, regionens økonomiske styrke eller andre strategiske hensyn, som fremhever den mangefasetterte naturen til trusselen fra løsepengevare i Phobos-familien.

Ikke følg instruksjonene etterlatt av nettkriminelle

Sikkerhetsforskere understreker at dekryptering av data kryptert med løsepengevaretrusler vanligvis er en kompleks oppgave uten involvering av nettkriminelle. Videre, selv når ofre etterkommer løsepengekrav, får de ofte ikke de lovede dekrypteringsverktøyene. Eksperter advarer derfor sterkt mot å betale løsepenger, siden det ikke bare klarer å garantere datagjenoppretting, men også opprettholder og støtter ulovlige aktiviteter.

For å stoppe kryptering av tilleggsdata med løsepengeprogramvare, må den usikre programvaren fjernes fullstendig fra operativsystemet. Det er imidlertid viktig å merke seg at fjerning av løsepengevaren ikke automatisk gjenoppretter krypterte filer. Den eneste aktuelle løsningen er å gjenopprette filer fra en tidligere opprettet sikkerhetskopi, forutsatt at den eksisterer og er lagret på et eget sted.

For å øke den generelle datasikkerheten anbefaler eksperter å ta i bruk en proaktiv tilnærming ved å vedlikeholde sikkerhetskopier på flere og forskjellige steder. Dette kan inkludere eksterne servere, frakoblede lagringsenheter og andre sikre medier, som sikrer at datagjenoppretting forblir et mulig alternativ i tilfelle løsepengevareangrep. Denne omfattende strategien bidrar til å redusere risikoen forbundet med løsepengevare og understreker viktigheten av et robust sikkerhetskopieringssystem for å beskytte verdifulle data.

Den viktigste løsepengenotaen levert til ofre for Dnex Ransomware er:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Tekstfilene generert av Dnex Ransomware inneholder følgende melding:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Enigma Software Group vinner over Malwarebytes på den niende kretsen

Søk

Endre region

Dxen Ransomware

Dxen Ransomware søker å presse penger fra ofrene

Dxen Ransomware slår av flere gjenopprettingsalternativer

Ikke følg instruksjonene etterlatt av nettkriminelle

Legg inn kommentar

Trender

Ldhy Ransomware

Ssj4.io

Jastugoa.top

Mest sett

Hva er Msedge.exe?

Er Lookmovie.io trygt?

'Geek Squad' e-postsvindel