Multi-License Discount Quote
Bedreigingsdatabase Ransomware Dxen-ransomware

Dxen-ransomware

Tegen Mezo in Ransomware
Vertalen naar:
Nederlands

Onderzoekers van Infosec hebben onlangs een nieuwe ransomware-dreiging ontdekt, bekend als Dxen. Dit type malware werkt door bestanden op een geïnfecteerd apparaat te coderen en vervolgens betaling van het slachtoffer te eisen voor decodering. Nadat Dxen succesvol een apparaat heeft geïnfiltreerd, initieert het het encryptieproces, waarbij de namen van de bestanden die op het systeem zijn opgeslagen worden gewijzigd. De gewijzigde bestandsnamen omvatten:

  • Er wordt een unieke identificatiecode aan het slachtoffer toegekend.
  • Het e-mailadres van de aanvallers.
  • Een '.dxen'-extensie.

Een bestand dat oorspronkelijk '1.jpg' heette, kan bijvoorbeeld worden omgezet in '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Nadat het versleutelingsproces is voltooid, genereert Dxen losgeldbriefjes die aan de slachtoffers worden gepresenteerd via een pop-upvenster ('info.hta') en een tekstbestand ('info.txt'). Deze bestanden worden strategisch in alle gecodeerde mappen en op het bureaublad geplaatst om de zichtbaarheid voor de betrokken gebruiker te garanderen. Met name is bevestigd dat Dxen een variant is die afkomstig is uit de Phobos Ransomware- familie, wat wijst op een verband met deze specifieke soort bedreigende software.

De Dxen-ransomware probeert zijn slachtoffers geld af te persen

Het tekstbestand dat door de Dxen-ransomware wordt gegenereerd, communiceert met het slachtoffer dat hun gegevens zijn gecodeerd en spoort hen aan contact op te nemen met de aanvallers om het decoderingsproces te vergemakkelijken. Daarnaast biedt het begeleidende pop-upvenster verdere details over de ransomware-infectie, waarbij wordt gespecificeerd dat het decoderingsproces de betaling van een losgeld in Bitcoin-cryptocurrency noodzakelijk maakt. Hoewel het exacte losgeldbedrag niet wordt gespecificeerd, is dit naar verluidt afhankelijk van de snelheid waarmee het slachtoffer contact opneemt. Vooraleer het losgeld te betalen, krijgt het slachtoffer de kans om het decoderingsproces van maximaal vijf bestanden kosteloos te testen.

Het losgeldbriefje wordt afgesloten met waarschuwingen aan het slachtoffer. Het raadt met name af de gecodeerde bestanden een andere naam te geven of te proberen decoderingssoftware van derden te gebruiken, aangezien dergelijke acties mogelijk tot permanent gegevensverlies kunnen leiden. Deze details onderstrepen de dwangtactieken van de Dxen Ransomware en benadrukken de financiële en operationele risico's waarmee slachtoffers worden geconfronteerd die mogelijk gedwongen worden om met de aanvallers in zee te gaan om weer toegang te krijgen tot hun gecodeerde gegevens.

De Dxen Ransomware sluit verschillende herstelopties af

Dxen, als onderdeel van de Phobos Ransomware-familie, deelt kenmerken met andere programma's binnen deze groep, waarbij het zich primair richt op zowel lokale als op het netwerk gedeelde bestanden voor codering. Met name geïnfecteerde apparaten blijven operationeel, omdat kritieke systeembestanden opzettelijk worden gespaard van het coderingsproces. Om uitzonderingen te voorkomen vanwege bestanden die als 'in gebruik' worden beschouwd, beëindigt Dxen processen die verband houden met geopende bestanden, zoals databaseprogramma's en tekstbestandlezers.

Om te voorkomen dat eerder gecompromitteerde bestanden dubbel worden gecodeerd, houden de Phobos Ransomware-programma's een lijst met typen ransomware bij. Deze strategie is echter niet waterdicht, omdat deze niet alle bestaande gegevensversleutelende malware omvat. Bovendien nemen deze ransomware-programma's maatregelen om de mogelijkheid van bestandsherstel uit te sluiten door de schaduwvolumekopieën te wissen.

De persistentie wordt verzekerd door de Phobos-malware door zelfreplicatie naar het %LOCALAPPDATA%-pad en registratie met specifieke Run-sleutels. Bijgevolg start de ransomware automatisch na elke herstart van het systeem, waardoor een consistente aanwezigheid op het geïnfecteerde apparaat wordt gegarandeerd.

Bovendien vertoont de Phobos Ransomware een verontrustend vermogen door geolocatiegegevens te verzamelen, waardoor de aanvallers de haalbaarheid van het doorgaan met de infectie kunnen beoordelen. De motivatie achter deze aanvallen kan worden beïnvloed door geopolitieke factoren, de economische kracht van de regio of andere strategische overwegingen, wat de veelzijdige aard van de dreiging van ransomware binnen de Phobos-familie benadrukt.

Volg niet de instructies van cybercriminelen

Beveiligingsonderzoekers benadrukken dat het ontsleutelen van gegevens die zijn versleuteld door ransomware-bedreigingen doorgaans een complexe taak is, zonder tussenkomst van cybercriminelen. Bovendien ontvangen slachtoffers vaak niet de beloofde decoderingstools, zelfs als ze aan de losgeldeisen voldoen. Deskundigen waarschuwen daarom met klem tegen het betalen van losgeld, omdat dit niet alleen het gegevensherstel niet garandeert, maar ook illegale activiteiten in stand houdt en ondersteunt.

Om de versleuteling van aanvullende gegevens door ransomware een halt toe te roepen, moet de onveilige software volledig uit het besturingssysteem worden verwijderd. Het is echter van cruciaal belang om te weten dat het verwijderen van de ransomware zelf de versleutelde bestanden niet automatisch herstelt. De enige toepasselijke oplossing is het herstellen van bestanden vanaf een eerder gemaakte back-up, op voorwaarde dat deze bestaat en op een aparte locatie is opgeslagen.

Om de algehele gegevensveiligheid te verbeteren, raden experts aan een proactieve aanpak te hanteren door back-ups op meerdere en verschillende locaties te bewaren. Dit kunnen externe servers, niet-aangesloten opslagapparaten en andere veilige media zijn, zodat gegevensherstel een haalbare optie blijft in het geval van een ransomware-aanval. Deze alomvattende strategie helpt de risico's die gepaard gaan met ransomware te beperken en onderstreept het belang van een robuust back-upsysteem voor het beschermen van waardevolle gegevens.

Het belangrijkste losgeldbriefje dat aan de slachtoffers van de Dnex Ransomware wordt bezorgd, is:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

De tekstbestanden gegenereerd door Dnex Ransomware bevatten het volgende bericht:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Trending

Meest bekeken

Bezig met laden...