Lexus Ransomware
Ransomware to rodzaj groźnego oprogramowania zaprojektowanego w celu uniemożliwienia dostępu do komputera lub danych do czasu zapłacenia okupu. Ta forma cyberataku często polega na szyfrowaniu plików ofiary, czyniąc je niedostępnymi i żądając okupu za ich uwolnienie.
Lexus Ransomware to specyficzne zagrożenie złośliwym oprogramowaniem, które blokuje dane ofiar poprzez szyfrowanie szerokiego zakresu plików, czyniąc je bezużytecznymi i niedostępnymi. Głównym celem cyberprzestępców stojących za Lexusem jest wyłudzanie ofiar poprzez żądanie zapłaty okupu za możliwość przywrócenia ich plików. Oprócz szyfrowania Lexus zmienia również nazwy plików i generuje dwa żądania okupu: „info.txt” i „info.hta”. Badacze bezpieczeństwa zidentyfikowali Lexus Ransomware jako wariant rodziny Phobos Ransomware .
Zmieniając nazwę plików, Lexus dołącza identyfikator ofiary, adres e-mail „emily.florez@zohomail.com” oraz rozszerzenie. Rozszerzenie „Lexus” do oryginalnych nazw plików. Na przykład „1.doc” zmieni się na „1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus”, a „2.pdf” zmieni się na „2.pdf.id[9ECFA74E” -3506].[emily.florez@zohomail.com].Lexus”.
Spis treści
Oprogramowanie ransomware Lexusa próbuje wyłudzić od ofiar okup
Notatka z żądaniem okupu pochodząca z oprogramowania Lexus Ransomware informuje ofiarę, że jej dane zostały zaszyfrowane i wydobyte przez osoby atakujące. Aby odzyskać dostęp do swoich danych, ofiary muszą uzyskać specjalne oprogramowanie deszyfrujące dostarczone przez cyberprzestępców. Notatka ostrzega, że samodzielna próba odszyfrowania danych lub użycie oprogramowania innych firm może prowadzić do trwałej utraty danych. Dodatkowo w notatce obiecuje się, że po dokonaniu płatności dane zostaną usunięte i nie zostaną sprzedane ani wykorzystane w niegodziwy sposób.
Jednak w notatce grozi również, że jeśli ofiara nie odpowie w ciągu dwóch dni, wyekstrahowane dane zostaną udostępnione zainteresowanym stronom. Udostępnia dwa adresy e-mail jako kanały komunikacji z atakującymi (emily.florez@zohomail.com i barbara.li@gmx.com) i odradza zmianę nazw jakichkolwiek zaszyfrowanych plików.
Rodzina ransomware Phobos jest często wykorzystywana przez cyberprzestępców
Ransomware z rodziny Phobos jest znane z szyfrowania plików lokalnych i udostępnianych w sieci, wyłączania zapór sieciowych i usuwania kopii woluminów w tle. Warianty te zazwyczaj rozprzestrzeniają się za pośrednictwem niezabezpieczonych usług protokołu Remote Desktop Protocol (RDP).
Aby utrzymać swoją obecność w zainfekowanym systemie, warianty Phobos Ransomware kopiują się do określonych katalogów i rejestrują się przy użyciu wyznaczonych kluczy Uruchom w rejestrze systemu Windows. Gromadzą również dane o lokalizacji i mogą wykluczyć niektóre lokalizacje z procesu szyfrowania.
Zastosuj kompleksowe podejście do zabezpieczeń przed złośliwym oprogramowaniem i oprogramowaniem ransomware
Aby skutecznie chronić się przed złośliwym oprogramowaniem i oprogramowaniem ransomware, użytkownicy powinni zastosować kompleksowe podejście do bezpieczeństwa, które obejmuje następujące środki:
Regularne kopie zapasowe :
Częste kopie zapasowe: regularnie twórz kopie zapasowe wszystkich ważnych danych na dyskach zewnętrznych lub w chmurze. Upewnij się, że kopie zapasowe są przechowywane w trybie offline lub w bezpiecznej, zdalnej lokalizacji, aby zapobiec ich naruszeniu podczas ataku.
Testuj przywracanie: Jeśli to możliwe, okresowo testuj proces przywracania, aby upewnić się, że kopie zapasowe działają poprawnie i można odzyskać dane.
Aktualne oprogramowanie :
Aktualizacje systemu operacyjnego: aktualizuj system operacyjny i zainstalowane oprogramowanie za pomocą najnowszych poprawek.
Aktualizacje automatyczne: w miarę możliwości włącz automatyczne aktualizacje, aby zapewnić terminowe stosowanie poprawek zabezpieczeń.
Silne oprogramowanie zabezpieczające :
Ochrona przed złośliwym oprogramowaniem: zainstaluj renomowane oprogramowanie chroniące przed złośliwym oprogramowaniem, które zapewnia ochronę w czasie rzeczywistym przed zagrożeniami.
Ochrona zapory sieciowej: użyj solidnej zapory ogniowej, aby zablokować nieautoryzowany dostęp do sieci i systemów.
Bezpieczna konfiguracja :
Ogranicz dostęp RDP: wyłącz protokół Remote Desktop Protocol (RDP), jeśli nie jest potrzebny, lub zabezpiecz go, używając silnych haseł, uwierzytelniania wieloskładnikowego (MFA) i ograniczając dostęp przez wirtualną sieć prywatną (VPN).
Zasada najmniejszych uprawnień: przestrzegaj zasady najmniejszych uprawnień, ograniczając prawa dostępu użytkownika do minimum niezbędnego do jego roli.
Bezpieczeństwo poczty e-mail i Internetu :
Filtrowanie poczty e-mail: korzystaj z rozwiązań do filtrowania wiadomości e-mail, aby blokować wiadomości e-mail typu phishing i złośliwe załączniki.
Filtrowanie sieci: wdrażaj filtrowanie sieci, aby ograniczyć dostęp do znanych złośliwych stron internetowych i zapobiec pobieraniu plików przez dysk.
Edukacja i świadomość użytkowników :
Programy edukacyjne: przeprowadzaj regularne sesje szkoleniowe, aby edukować użytkowników na temat zagrożeń związanych ze złośliwym oprogramowaniem i oprogramowaniem ransomware, w tym na temat rozpoznawania prób phishingu i unikania niebezpiecznych praktyk.
Symulowane ataki : przeprowadzaj symulowane ataki phishingowe, aby przetestować i poprawić świadomość użytkowników.
Integrując te środki w kompleksową strategię bezpieczeństwa, użytkownicy mogą znacząco wzmocnić swoją ochronę przed złośliwym oprogramowaniem i oprogramowaniem ransomware, zmniejszając ryzyko infekcji i zmniejszając wpływ potencjalnych ataków.
Pełny tekst żądania okupu pozostawionego przez Lexus Ransomware to:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
