Multi-License Discount Quote
Baza de date pentru amenințări Ransomware Dxen Ransomware

Dxen Ransomware

Până în Mezo în Ransomware
Tradu in:
Română

Cercetătorii Infosec au descoperit recent o nouă amenințare ransomware cunoscută sub numele de Dxen. Acest tip de malware operează prin criptarea fișierelor de pe un dispozitiv infectat și apoi solicitarea plății de la victimă pentru decriptare. După ce se infiltrează cu succes într-un dispozitiv, Dxen inițiază procesul de criptare, modificând numele fișierelor stocate în sistem. Numele de fișiere modificate includ:

  • Victimei i se atribuie un identificator unic.
  • Adresa de e-mail a atacatorilor.
  • O extensie „.dxen”.

De exemplu, un fișier denumit inițial „1.jpg” poate fi transformat în „1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.”

După finalizarea procesului de criptare, Dxen generează note de răscumpărare prezentate victimelor printr-o fereastră pop-up („info.hta”) și un fișier text („info.txt”). Aceste fișiere sunt plasate strategic în toate directoarele criptate și pe desktop pentru a asigura vizibilitatea utilizatorului afectat. În special, Dxen a fost confirmat ca o variantă care provine din familia Phobos Ransomware , indicând o conexiune cu această tulpină specială de software amenințător.

Dxen Ransomware caută să stoarcă bani de la victimele sale

Fișierul text generat de ransomware-ul Dxen comunică victimei că datele lor au fost criptate și o îndeamnă să stabilească contactul cu atacatorii pentru a facilita procesul de decriptare. În plus, fereastra pop-up însoțitoare oferă detalii suplimentare cu privire la infecția cu ransomware, precizând că procesul de decriptare necesită plata unei răscumpări în criptomoneda Bitcoin. Deși suma exactă a răscumpărării este lăsată nespecificată, se presupune că depinde de promptitudinea cu care victima inițiază contactul. În special, înainte de a se angaja la plata răscumpărării, victimei i se oferă posibilitatea de a testa procesul de decriptare pe până la cinci fișiere fără nicio taxă.

Biletul de răscumpărare se încheie cu avertismente de precauție adresate victimei. Mai exact, nu recomandă redenumirea fișierelor criptate sau încercarea de a utiliza software de decriptare terță parte, deoarece astfel de acțiuni ar putea duce la pierderea permanentă a datelor. Aceste detalii subliniază tacticile coercitive folosite de Dxen Ransomware, subliniind riscurile financiare și operaționale cu care se confruntă victimele care pot fi obligate să se implice cu atacatorii pentru a recâștiga accesul la datele lor criptate.

Ransomware-ul Dxen închide mai multe opțiuni de recuperare

Dxen, ca parte a familiei Phobos Ransomware, împărtășește caracteristici cu alte programe din acest grup, vizând în primul rând fișierele locale și partajate în rețea pentru criptare. În special, dispozitivele infectate rămân operaționale, deoarece fișierele de sistem critice sunt scutite în mod intenționat de procesul de criptare. Pentru a preveni excepțiile datorate fișierelor considerate „în uz”, Dxen încheie procesele asociate fișierelor deschise, cum ar fi programele de baze de date și cititoarele de fișiere text.

Pentru a evita dubla criptare a fișierelor compromise anterior, programele Phobos Ransomware mențin o listă de tipuri de ransomware. Cu toate acestea, această strategie nu este sigură, deoarece nu include toate programele malware existente de criptare a datelor. În plus, aceste programe ransomware iau măsuri pentru a elimina posibilitatea recuperării fișierelor prin ștergerea Copiilor Shadow Volume.

Persistența este asigurată de malware-ul Phobos prin auto-replicare pe calea %LOCALAPPDATA% și înregistrarea cu anumite chei Run. În consecință, ransomware-ul pornește automat după fiecare repornire a sistemului, asigurând o prezență constantă pe dispozitivul infectat.

În plus, Phobos Ransomware prezintă o capacitate îngrijorătoare prin colectarea datelor de geolocalizare, permițând atacatorilor să evalueze viabilitatea de a continua cu infecția. Motivația din spatele acestor atacuri poate fi influențată de factori geopolitici, puterea economică a regiunii sau alte considerații strategice, evidențiind natura multifațetă a amenințării reprezentate de ransomware în cadrul familiei Phobos.

Nu urmați instrucțiunile lăsate de infractorii cibernetici

Cercetătorii în domeniul securității subliniază că decriptarea datelor criptate de amenințările ransomware este de obicei o sarcină complexă, fără implicarea infractorilor cibernetici. În plus, chiar și atunci când victimele respectă cererile de răscumpărare, adesea nu primesc instrumentele de decriptare promise. În consecință, experții avertizează cu tărie împotriva plății răscumpărărilor, deoarece nu numai că nu garantează recuperarea datelor, ci și perpetuează și sprijină activitățile ilegale.

Pentru a opri criptarea datelor suplimentare de către ransomware, software-ul nesigur trebuie să fie complet eradicat din sistemul de operare. Cu toate acestea, este esențial să rețineți că eliminarea ransomware-ului în sine nu restabilește automat fișierele criptate. Singura soluție aplicabilă este recuperarea fișierelor dintr-o copie de rezervă creată anterior, cu condiția ca aceasta să existe și să fie stocată într-o locație separată.

Pentru a spori siguranța generală a datelor, experții recomandă adoptarea unei abordări proactive prin menținerea copiilor de rezervă în locații multiple și distincte. Acestea pot include servere la distanță, dispozitive de stocare deconectate și alte medii securizate, asigurându-se că recuperarea datelor rămâne o opțiune fezabilă în cazul unui atac ransomware. Această strategie cuprinzătoare ajută la atenuarea riscurilor asociate cu ransomware și subliniază importanța unui sistem robust de backup în protejarea datelor valoroase.

Principalul bilet de răscumpărare livrat victimelor Dnex Ransomware este:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Fișierele text generate de Dnex Ransomware conțin următorul mesaj:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Trending

Cele mai văzute

Se încarcă...