Lexus Ransomware
Ransomware é um tipo de software ameaçador projetado para impedir o acesso a um computador ou dados até que um resgate seja pago. Esta forma de ataque cibernético envolve frequentemente a encriptação dos ficheiros da vítima, tornando-os inacessíveis e exigindo um resgate pela sua libertação.
O Lexus Ransomware é uma ameaça de malware específica que bloqueia os dados das vítimas criptografando uma ampla variedade de arquivos, tornando-os inutilizáveis e inacessíveis. O principal objetivo dos cibercriminosos por trás da Lexus é extorquir as vítimas, exigindo o pagamento de um resgate pela oportunidade de restaurar os seus ficheiros. Além da criptografia, o Lexus também renomeia arquivos e gera duas notas de resgate, 'info.txt' e 'info.hta'. Pesquisadores de segurança identificaram o Lexus Ransomware como uma variante da família do Phobos Ransomware.
Ao renomear arquivos, a Lexus anexa o ID da vítima, o endereço de e-mail ‘emily.florez@zohomail.com’ e o. Extensão 'Lexus' para os nomes de arquivos originais. Por exemplo, '1.doc' torna-se '1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus' e '2.pdf' muda para '2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Índice
O Lexus Ransomware Busca Extorquir Pagamentos de Resgate das Vítimas
A nota de resgate do Lexus Ransomware informa à vítima que seus dados foram criptografados e exfiltrados pelos invasores. Para recuperar o acesso aos seus dados, as vítimas devem obter um software de desencriptação específico fornecido pelos cibercriminosos. A nota alerta que tentar descriptografar os dados de forma independente ou usar software de terceiros pode levar à perda permanente de dados. Além disso, a nota promete que mediante o pagamento, os dados serão excluídos e não serão vendidos ou utilizados de forma indevida.
No entanto, a nota também ameaça que se a vítima não responder no prazo de dois dias, os dados exfiltrados serão partilhados com os interessados. Ele fornece dois endereços de e-mail como canais de comunicação com os invasores (emily.florez@zohomail.com e barbara.li@gmx.com) e desaconselha a renomeação de arquivos criptografados.
A Família do Phobos Ransomware é Frequentemente Utilizada pelos Cibercriminosos
O ransomware da família Phobos é famoso por criptografar arquivos locais e compartilhados em rede, desabilitar firewalls e excluir cópias de volume de sombra. Essas variantes normalmente se espalham por meio de serviços inseguros de Remote Desktop Protocol (RDP).
Para manter sua presença no sistema infectado, as variantes do Phobos Ransomware se duplicam em diretórios específicos e são registradas com chaves Run designadas no registro do Windows. Eles também coletam dados de localização e podem excluir determinados locais do processo de criptografia.
Adote uma Abordagem de Segurança Abrangente contra Malware e Ransomware
Para se protegerem eficazmente contra malware e ransomware, os utilizadores devem adotar uma abordagem de segurança abrangente que inclua as seguintes medidas:
Backups regulares :
Backups frequentes: Faça backup regularmente de todos os dados importantes em unidades externas ou armazenamento em nuvem. Certifique-se de que os backups sejam mantidos off-line ou em um local remoto e seguro para evitar que sejam comprometidos durante um ataque.
Testar restaurações: Se possível, teste periodicamente o processo de restauração para confirmar se os backups estão funcionando corretamente e se os dados podem ser recuperados.
Software atualizado :
Atualizações do sistema operacional: Mantenha o sistema operacional, bem como qualquer software instalado, atualizados com os patches mais recentes.
Atualizações automáticas: Ative atualizações automáticas sempre que possível para garantir a aplicação oportuna de patches de segurança.
Software de segurança forte :
Antimalware: Instale software anti-malware confiável que ofereça proteção em tempo real contra ameaças.
Proteção por Firewall: Use um firewall robusto para bloquear o acesso não autorizado à sua rede e sistemas.
Configuração segura :
Restrinja o acesso RDP:Desative o protocolo de área de trabalho remota (RDP) se não for necessário ou proteja-o usando senhas fortes, autenticação multifator (MFA) e limitando o acesso por meio de uma rede privada virtual (VPN).
Princípio do menor privilégio: Execute o princípio do menor privilégio limitando os direitos de acesso do usuário ao mínimo necessário para sua função.
Segurança de e-mail e web :
Filtragem de e-mail: Use soluções de filtragem de e-mail para bloquear e-mails de phishing e anexos maliciosos.
Filtragem da Web: implemente a filtragem da Web para restringir o acesso a sites maliciosos conhecidos e evitar downloads drive-by.
Educação e conscientização do usuário :
Programas educativos: Realize sessões regulares de treinamento para educar os usuários sobre os perigos do malware e do ransomware, incluindo como reconhecer tentativas de phishing e evitar práticas inseguras.
Ataques simulados : Execute ataques de phishing simulados para testar e melhorar a conscientização do usuário.
Ao integrar estas medidas numa estratégia de segurança abrangente, os utilizadores podem melhorar significativamente as suas defesas contra malware e ransomware, reduzindo o risco de infecção e diminuindo o impacto de quaisquer ataques potenciais.
O texto completo da nota de resgate deixada pelo Lexus Ransomware diz:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
