Oprogramowanie ransomware Dxen
Badacze firmy Infosec odkryli niedawno nowe zagrożenie ransomware znane jako Dxen. Ten typ złośliwego oprogramowania działa poprzez szyfrowanie plików na zainfekowanym urządzeniu, a następnie żądanie zapłaty od ofiary za odszyfrowanie. Po pomyślnej infiltracji urządzenia Dxen inicjuje proces szyfrowania, zmieniając nazwy plików przechowywanych w systemie. Zmodyfikowane nazwy plików obejmują:
- Ofierze przypisywany jest unikalny identyfikator.
- Adres e-mail atakujących.
- Rozszerzenie „.dxen”.
Na przykład plik pierwotnie nazwany „1.jpg” może zostać przekształcony w „1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen”.
Po zakończeniu procesu szyfrowania Dxen generuje notatki z żądaniem okupu prezentowane ofiarom w wyskakującym oknie („info.hta”) i pliku tekstowym („info.txt”). Pliki te są strategicznie rozmieszczone we wszystkich zaszyfrowanych katalogach i na pulpicie, aby zapewnić widoczność użytkownikowi, którego to dotyczy. Warto zauważyć, że potwierdzono, że Dxen jest wariantem pochodzącym z rodziny Phobos Ransomware , co wskazuje na powiązanie z tą konkretną odmianą groźnego oprogramowania.
Spis treści
Ransomware Dxen stara się wyłudzić pieniądze od swoich ofiar
Plik tekstowy wygenerowany przez ransomware Dxen komunikuje ofierze, że jej dane zostały zaszyfrowane i namawia ją do nawiązania kontaktu z atakującymi, aby ułatwić proces odszyfrowania. Oprócz tego towarzyszące wyskakujące okienko zawiera dalsze szczegóły dotyczące infekcji ransomware, precyzując, że proces odszyfrowywania wymaga zapłacenia okupu w kryptowalucie Bitcoin. Chociaż dokładna kwota okupu nie została określona, rzekomo zależy ona od szybkości, z jaką ofiara nawiązuje kontakt. Warto zauważyć, że przed dokonaniem płatności okupu ofiara ma możliwość przetestowania procesu deszyfrowania maksymalnie pięciu plików bez żadnych opłat.
Notatka o okupie kończy się przestrogą skierowaną do ofiary. W szczególności odradza zmianę nazw zaszyfrowanych plików lub próby użycia oprogramowania deszyfrującego innych firm, ponieważ takie działania mogą potencjalnie skutkować trwałą utratą danych. Szczegóły te podkreślają taktykę przymusu stosowaną przez Dxen Ransomware, podkreślając ryzyko finansowe i operacyjne, na jakie narażają się ofiary, które mogą być zmuszone do nawiązania kontaktu z atakującymi w celu odzyskania dostępu do swoich zaszyfrowanych danych.
Ransomware Dxen wyłącza kilka opcji odzyskiwania
Dxen, będący częścią rodziny Phobos Ransomware, ma takie same cechy jak inne programy z tej grupy, atakując głównie pliki lokalne i udostępniane w sieci w celu szyfrowania. Warto zauważyć, że zainfekowane urządzenia nadal działają, ponieważ krytyczne pliki systemowe są celowo pomijane w procesie szyfrowania. Aby zapobiec wyjątkom wynikającym z plików uznawanych za „w użyciu”, Dxen kończy procesy powiązane z otwartymi plikami, takie jak programy bazodanowe i czytniki plików tekstowych.
Aby uniknąć podwójnego szyfrowania wcześniej zainfekowanych plików, programy Phobos Ransomware przechowują listę typów ransomware. Jednak ta strategia nie jest niezawodna, ponieważ nie obejmuje wszystkich istniejących szkodliwych programów szyfrujących dane. Ponadto te programy ransomware podejmują działania mające na celu wyeliminowanie możliwości odzyskania plików poprzez wyczyszczenie kopii woluminów w tle.
Trwałość jest zapewniana przez szkodliwe oprogramowanie Phobos poprzez samoreplikację do ścieżki %LOCALAPPDATA% i rejestrację przy użyciu określonych kluczy Run. W rezultacie oprogramowanie ransomware uruchamia się automatycznie po każdym ponownym uruchomieniu systemu, zapewniając stałą obecność na zainfekowanym urządzeniu.
Co więcej, Phobos Ransomware wykazuje niepokojące możliwości, gromadząc dane geolokalizacyjne, umożliwiając atakującym ocenę możliwości kontynuacji infekcji. Na motywację tych ataków mogą wpływać czynniki geopolityczne, siła gospodarcza regionu lub inne względy strategiczne, podkreślające wieloaspektowy charakter zagrożenia stwarzanego przez oprogramowanie ransomware z rodziny Phobos.
Nie postępuj zgodnie z instrukcjami pozostawionymi przez cyberprzestępców
Badacze bezpieczeństwa podkreślają, że odszyfrowanie danych zaszyfrowanych przez zagrożenia ransomware jest zazwyczaj złożonym zadaniem, wymagającym zaangażowania cyberprzestępców. Co więcej, nawet jeśli ofiary spełniają żądanie okupu, często nie otrzymują obiecanych narzędzi do odszyfrowania. W związku z tym eksperci zdecydowanie przestrzegają przed płaceniem okupu, ponieważ nie tylko nie gwarantuje to odzyskania danych, ale także utrwala i wspiera nielegalne działania.
Aby zatrzymać szyfrowanie dodatkowych danych przez oprogramowanie ransomware, niebezpieczne oprogramowanie musi zostać całkowicie usunięte z systemu operacyjnego. Należy jednak pamiętać, że samo usunięcie ransomware nie przywraca automatycznie zaszyfrowanych plików. Jedynym możliwym rozwiązaniem jest odzyskanie plików z wcześniej utworzonej kopii zapasowej, pod warunkiem, że ona istnieje i jest przechowywana w osobnej lokalizacji.
Aby zwiększyć ogólne bezpieczeństwo danych, eksperci zalecają przyjęcie proaktywnego podejścia i utrzymywanie kopii zapasowych w wielu różnych lokalizacjach. Może to obejmować serwery zdalne, odłączone urządzenia pamięci masowej i inne bezpieczne nośniki, co gwarantuje, że odzyskanie danych pozostanie wykonalną opcją w przypadku ataku oprogramowania ransomware. Ta kompleksowa strategia pomaga ograniczyć ryzyko związane z oprogramowaniem ransomware i podkreśla znaczenie solidnego systemu tworzenia kopii zapasowych w ochronie cennych danych.
Głównym żądaniem okupu dostarczonym ofiarom Dnex Ransomware jest:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Pliki tekstowe wygenerowane przez Dnex Ransomware zawierają następujący komunikat:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
