Lexus Ransomware
Ransomware er en type truende programvare utviklet for å hindre tilgang til en datamaskin eller data inntil løsepenger er betalt. Denne formen for nettangrep involverer ofte kryptering av offerets filer, gjør dem utilgjengelige og krever løsepenger for løslatelse.
Lexus Ransomware er en spesifikk trussel mot skadelig programvare som låser ofrenes data ved å kryptere et bredt spekter av filer, noe som gjør dem ubrukelige og utilgjengelige. Hovedmålet til nettkriminelle bak Lexus er å presse ofre ved å kreve løsepenger for muligheten til å gjenopprette filene deres. Utover kryptering gir Lexus også nytt navn til filer og genererer to løsepenger, 'info.txt' og 'info.hta'. Sikkerhetsforskere har identifisert Lexus Ransomware som en variant av Phobos Ransomware- familien.
Når du gir nytt navn til filer, legger Lexus til offerets ID, e-postadressen 'emily.florez@zohomail.com' og. 'Lexus' utvidelse til de originale filnavnene. For eksempel blir '1.doc' '1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus', og '2.pdf' endres til '2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Innholdsfortegnelse
Lexus Ransomware søker å presse løsepenger fra ofre
Løsepengeseddelen fra Lexus Ransomware informerer offeret om at dataene deres er kryptert og eksfiltrert av angriperne. For å få tilbake tilgang til dataene deres, må ofrene få spesifikk dekrypteringsprogramvare levert av nettkriminelle. Merknaden advarer om at forsøk på å dekryptere dataene uavhengig eller bruke tredjepartsprogramvare kan føre til permanent tap av data. I tillegg lover notatet at ved betaling vil dataene bli slettet og vil ikke bli solgt eller brukt ondsinnet.
Men notatet truer også med at dersom offeret ikke svarer innen to dager, vil de eksfiltrerte dataene bli delt med interesserte. Den gir to e-postadresser som kommunikasjonskanaler med angriperne (emily.florez@zohomail.com og barbara.li@gmx.com) og fraråder å endre navn på krypterte filer.
Phobos Ransomware-familien blir ofte brukt av nettkriminelle
Ransomware fra Phobos-familien er beryktet for å kryptere både lokale og nettverksdelte filer, deaktivere brannmurer og slette Shadow Volume Copies. Disse variantene spres vanligvis gjennom usikre RDP-tjenester (Remote Desktop Protocol).
For å opprettholde sin tilstedeværelse på det infiserte systemet, dupliserer Phobos Ransomware-variantene seg selv til spesifikke kataloger og registrerer seg med angitte Run-nøkler i Windows-registeret. De samler også inn stedsdata og kan ekskludere visse steder fra krypteringsprosessen.
Ta en omfattende sikkerhetstilnærming mot skadelig programvare og løsepenger
For å effektivt beskytte mot skadelig programvare og løsepengeprogramvare, bør brukere omfavne en omfattende sikkerhetstilnærming som inkluderer følgende tiltak:
Vanlige sikkerhetskopier :
Hyppige sikkerhetskopier: Sikkerhetskopier alle viktige data regelmessig til eksterne stasjoner eller skylagring. Sørg for at sikkerhetskopier holdes offline eller på et sikkert, eksternt sted for å forhindre at de blir kompromittert under et angrep.
Test gjenopprettinger: Hvis mulig, test gjenopprettingsprosessen med jevne mellomrom for å bekrefte at sikkerhetskopier fungerer som de skal og at data kan gjenopprettes.
Oppdatert programvare :
Operativsystemoppdateringer: Hold operativsystemet så vel som all installert programvare oppdatert med de nyeste oppdateringene.
Automatiske oppdateringer: Aktiver automatiske oppdateringer der det er mulig for å sikre rettidig bruk av sikkerhetsoppdateringer.
Sterk sikkerhetsprogramvare :
Anti-malware: Installer anerkjent anti-malware-programvare som tilbyr sanntidsbeskyttelse mot trusler.
Brannmurbeskyttelse: Bruk en robust brannmur for å blokkere uautorisert tilgang til nettverket og systemene dine.
Sikker konfigurasjon :
Begrens RDP-tilgang: Deaktiver Remote Desktop Protocol (RDP) hvis det ikke er nødvendig, eller sikre det ved å bruke sterke passord, multifaktorautentisering (MFA) og begrense tilgangen gjennom et virtuelt privat nettverk (VPN).
Minst privilegium-prinsipp: Utfør prinsippet om minste privilegium ved å begrense brukertilgangsrettigheter til det minimum som er nødvendig for rollen deres.
E-post og nettsikkerhet :
E-postfiltrering: Bruk e-postfiltreringsløsninger for å blokkere phishing-e-poster og ondsinnede vedlegg.
Nettfiltrering: Implementer nettfiltrering for å begrense tilgangen til kjente ondsinnede nettsteder og forhindre drive-by-nedlastinger.
Brukerutdanning og bevissthet :
Opplæringsprogrammer: Gjennomfør regelmessige treningsøkter for å utdanne brukere om farene ved skadelig programvare og løsepengeprogramvare, inkludert hvordan man anerkjenner phishing-forsøk og unngår usikker praksis.
Simulerte angrep : Utfør simulerte phishing-angrep for å teste og forbedre brukerbevisstheten.
Ved å integrere disse tiltakene i en omfattende sikkerhetsstrategi, kan brukere forbedre forsvaret mot skadelig programvare og løsepengevare betraktelig, redusere risikoen for infeksjon og redusere virkningen av potensielle angrep.
Den fullstendige teksten til løsepengenotatet etter Lexus Ransomware er:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
