Lexus Ransomware
Ransomware este un tip de software amenințător conceput pentru a împiedica accesul la un computer sau la date până când se plătește o răscumpărare. Această formă de atac cibernetic implică adesea criptarea fișierelor victimei, făcându-le inaccesibile și cerând o răscumpărare pentru eliberarea lor.
Lexus Ransomware este o amenințare specifică malware care blochează datele victimelor prin criptarea unei game largi de fișiere, făcându-le inutilizabile și inaccesibile. Obiectivul principal al infractorilor cibernetici din spatele Lexus este de a stoarce victimele cerând o răscumpărare pentru șansa de a le restaura fișierele. Dincolo de criptare, Lexus redenumește și fișierele și generează două note de răscumpărare, „info.txt” și „info.hta”. Cercetătorii de securitate au identificat Lexus Ransomware ca o variantă a familiei Phobos Ransomware .
La redenumirea fișierelor, Lexus adaugă ID-ul victimei, adresa de e-mail „emily.florez@zohomail.com” și. Extensia „Lexus” la numele fișierelor originale. De exemplu, „1.doc” devine „1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus”, iar „2.pdf” se schimbă în „2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Cuprins
Lexus Ransomware caută să extorce plățile de răscumpărare de la victime
Nota de răscumpărare de la Lexus Ransomware informează victima că datele lor au fost criptate și exfiltrate de atacatori. Pentru a recâștiga accesul la datele lor, victimele trebuie să obțină un software de decriptare specific furnizat de infractorii cibernetici. Nota avertizează că încercarea de a decripta datele în mod independent sau utilizarea unui software terță parte poate duce la pierderea permanentă a datelor. În plus, nota promite că, la plată, datele vor fi șterse și nu vor fi vândute sau folosite rău.
Cu toate acestea, nota amenință că dacă victima nu răspunde în termen de două zile, datele exfiltrate vor fi partajate părților interesate. Furnizează două adrese de e-mail ca canale de comunicare cu atacatorii (emily.florez@zohomail.com și barbara.li@gmx.com) și recomandă să nu redenumească fișierele criptate.
Familia Phobos Ransomware este adesea folosită de infractorii cibernetici
Ransomware-ul din familia Phobos este notoriu pentru criptarea atât a fișierelor locale, cât și a fișierelor partajate în rețea, pentru dezactivarea firewall-urilor și pentru ștergerea Copiilor Shadow Volume. Aceste variante se răspândesc de obicei prin servicii nesigure Remote Desktop Protocol (RDP).
Pentru a-și menține prezența pe sistemul infectat, variantele Phobos Ransomware se dublează în directoare specifice și se înregistrează cu cheile Run desemnate în registrul Windows. De asemenea, colectează date despre locație și pot exclude anumite locații din procesul de criptare.
Luați o abordare cuprinzătoare de securitate împotriva programelor malware și ransomware
Pentru a proteja eficient împotriva programelor malware și ransomware, utilizatorii ar trebui să adopte o abordare cuprinzătoare de securitate care să includă următoarele măsuri:
Backup-uri regulate :
Backup-uri frecvente: faceți în mod regulat copii de siguranță pentru toate datele importante pe unități externe sau pe stocarea în cloud. Asigurați-vă că backup-urile sunt păstrate offline sau într-o locație securizată, la distanță, pentru a preveni compromiterea lor în timpul unui atac.
Testați restaurările: dacă este posibil, testați periodic procesul de restaurare pentru a confirma că backup-urile funcționează corect și că datele pot fi recuperate.
Software actualizat :
Actualizări ale sistemului de operare: mențineți sistemul de operare, precum și orice software instalat la zi cu cele mai recente corecții.
Actualizări automate: activați actualizările automate acolo unde este posibil pentru a asigura aplicarea în timp util a corecțiilor de securitate.
Software de securitate puternic :
Anti-malware: Instalați software anti-malware de renume care oferă protecție în timp real împotriva amenințărilor.
Protecție firewall: utilizați un firewall robust pentru a bloca accesul neautorizat la rețea și sistemele dvs.
Configurație sigură :
Restricționați accesul RDP: dezactivați protocolul RDP (Remote Desktop Protocol) dacă nu este necesar sau asigurați-l folosind parole puternice, autentificare multifactor (MFA) și limitarea accesului printr-o rețea privată virtuală (VPN).
Principiul privilegiului minim: executați principiul privilegiului minim prin limitarea drepturilor de acces ale utilizatorilor la minimul necesar pentru rolul lor.
E-mail și securitate web :
Filtrarea e-mailurilor: utilizați soluții de filtrare a e-mailurilor pentru a bloca e-mailurile de tip phishing și atașamentele rău intenționate.
Filtrare web: Implementați filtrarea web pentru a restricționa accesul la site-urile web rău intenționate cunoscute și pentru a preveni descărcările de tip drive-by.
Educația și conștientizarea utilizatorilor :
Programe de educare: desfășurați sesiuni de instruire regulate pentru a educa utilizatorii despre pericolele malware și ransomware, inclusiv despre cum să recunoașteți încercările de phishing și să evitați practicile nesigure.
Atacuri simulate : Efectuați atacuri de phishing simulate pentru a testa și îmbunătăți gradul de conștientizare a utilizatorilor.
Prin integrarea acestor măsuri într-o strategie de securitate cuprinzătoare, utilizatorii își pot îmbunătăți în mod semnificativ apărarea împotriva programelor malware și ransomware, reducând riscul de infecție și scăzând impactul oricăror atacuri potențiale.
Textul integral al notei de răscumpărare lăsată de Lexus Ransomware este:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
