Dxen Ransomware
Os pesquisadores de Infosec descobriram recentemente uma nova ameaça de ransomware conhecida como Dxen. Esse tipo de malware opera criptografando arquivos em um dispositivo infectado e exigindo pagamento da vítima pela descriptografia. Ao se infiltrar com sucesso em um dispositivo, o Dxen inicia o processo de criptografia, alterando os nomes dos arquivos armazenados no sistema. Os nomes de arquivos modificados incluem:
- Um identificador exclusivo é atribuído à vítima.
- O endereço de e-mail dos invasores.
- Uma extensão '.dxen'.
Por exemplo, um arquivo originalmente chamado '1.jpg' pode ser transformado em '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'
Após a conclusão do processo de encriptação, Dxen gera notas de resgate apresentadas às vítimas através de uma janela pop-up ('info.hta') e um ficheiro de texto ('info.txt'). Esses arquivos são colocados estrategicamente em todos os diretórios criptografados e na área de trabalho para garantir visibilidade ao usuário afetado. Notavelmente, o Dxen foi confirmado como uma variante originária da família Phobos Ransomware, indicando uma conexão com esta variedade específica de software ameaçador.
Índice
O Dxen Ransomware Procura Extorquir Dinheiro de Suas Vítimas
O arquivo de texto gerado pelo ransomware Dxen comunica à vítima que seus dados foram criptografados e incentiva-a a estabelecer contato com os invasores para facilitar o processo de descriptografia. Além disso, a janela pop-up que acompanha oferece mais detalhes sobre a infecção por ransomware, especificando que o processo de descriptografia exige o pagamento de um resgate na criptomoeda Bitcoin. Embora o valor exato do resgate não seja especificado, ele supostamente depende da rapidez com que a vítima inicia o contato. Notavelmente, antes de se comprometer com o pagamento do resgate, a vítima tem a oportunidade de testar o processo de desencriptação em até cinco ficheiros sem qualquer custo.
A nota de resgate termina com avisos de advertência à vítima. Especificamente, desaconselha renomear os ficheiros encriptados ou tentar usar software de desencriptação de terceiros, pois tais ações podem resultar na perda permanente de dados. Esses detalhes ressaltam as táticas coercitivas empregadas pelo Dxen Ransomware, enfatizando os riscos financeiros e operacionais enfrentados pelas vítimas que podem ser obrigadas a se envolver com os invasores para recuperar o acesso aos seus dados criptografados.
O Dxen Ransomware Desliga Várias Opções de Recuperação
Dxen, como parte da família Phobos Ransomware, compartilha características com outros programas deste grupo, visando principalmente arquivos locais e compartilhados em rede para criptografia. Notavelmente, os dispositivos infectados permanecem operacionais, pois os arquivos críticos do sistema são intencionalmente poupados do processo de criptografia. Para evitar exceções devido a arquivos considerados “em uso”, o Dxen encerra processos associados a arquivos abertos, como programas de banco de dados e leitores de arquivos de texto.
Para evitar a criptografia dupla de arquivos previamente comprometidos, os programas Phobos Ransomware mantêm uma lista de tipos de ransomware. No entanto, esta estratégia não é infalível, pois não abrange todos os malwares de encriptação de dados existentes. Além disso, esses programas ransomware tomam medidas para eliminar a possibilidade de recuperação de arquivos, limpando as Shadow Volume Copies.
A persistência é garantida pelo malware Phobos por meio de auto-replicação para o caminho %LOCALAPPDATA% e registro com chaves Run específicas. Consequentemente, o ransomware é iniciado automaticamente após cada reinicialização do sistema, garantindo uma presença consistente no dispositivo infectado.
Além disso, o Phobos Ransomware apresenta uma capacidade preocupante ao coletar dados de geolocalização, permitindo que os invasores avaliem a viabilidade de prosseguir com a infecção. A motivação por detrás destes ataques pode ser influenciada por factores geopolíticos, força económica da região ou outras considerações estratégicas, destacando a natureza multifacetada da ameaça representada pelo ransomware dentro da família Phobos.
Não Siga as Instruções Deixadas pelos Cibercriminosos
Os investigadores de segurança enfatizam que a desencriptação de dados encriptados por ameaças de ransomware é normalmente uma tarefa complexa sem o envolvimento de cibercriminosos. Além disso, mesmo quando as vítimas cumprem os pedidos de resgate, muitas vezes não recebem as ferramentas de desencriptação prometidas. Consequentemente, os especialistas alertam fortemente contra o pagamento de resgates, uma vez que não só não garante a recuperação de dados, mas também perpetua e apoia atividades ilegais.
Para interromper a criptografia de dados adicionais por ransomware, o software inseguro deve ser completamente erradicado do sistema operacional. No entanto, é crucial observar que a remoção do ransomware em si não restaura automaticamente os arquivos criptografados. A única solução aplicável é recuperar arquivos de um backup criado anteriormente, desde que ele exista e esteja armazenado em um local separado.
Para melhorar a segurança geral dos dados, os especialistas recomendam a adoção de uma abordagem proativa, mantendo backups em locais múltiplos e distintos. Isto pode incluir servidores remotos, dispositivos de armazenamento desconectados e outros meios seguros, garantindo que a recuperação de dados continue a ser uma opção viável no caso de um ataque de ransomware. Esta estratégia abrangente ajuda a mitigar os riscos associados ao ransomware e sublinha a importância de um sistema de backup robusto na proteção de dados valiosos.
A principal nota de resgate entregue às vítimas do Dnex Ransomware é:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Os arquivos de texto gerados pelo Dnex Ransomware contêm a seguinte mensagem:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
