Multi-License Discount Quote
База данных угроз Ransomware Dxen-вымогатель

Dxen-вымогатель

К Mezo году в Ransomware году
Перевести на:
Русский

Исследователи Infosec недавно обнаружили новую угрозу-вымогателя, известную как Dxen. Этот тип вредоносного ПО действует путем шифрования файлов на зараженном устройстве, а затем требует от жертвы оплаты за расшифровку. После успешного проникновения на устройство Dxen инициирует процесс шифрования, изменяя имена файлов, хранящихся в системе. Измененные имена файлов включают:

  • Жертве присваивается уникальный идентификатор.
  • Адрес электронной почты злоумышленников.
  • Расширение «.dxen».

Например, файл с первоначальным названием «1.jpg» может быть преобразован в «1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen».

После завершения процесса шифрования Dxen генерирует заметки с требованием выкупа, предоставляемые жертвам через всплывающее окно («info.hta») и текстовый файл («info.txt»). Эти файлы стратегически размещаются во всех зашифрованных каталогах и на рабочем столе, чтобы обеспечить видимость для пострадавшего пользователя. Примечательно, что Dxen был подтвержден как вариант, происходящий из семейства Phobos Ransomware , что указывает на связь с этим конкретным штаммом угрожающего программного обеспечения.

Программа-вымогатель Dxen пытается вымогать деньги у своих жертв

Текстовый файл, созданный программой-вымогателем Dxen, сообщает жертве, что ее данные были зашифрованы, и призывает ее установить контакт с злоумышленниками, чтобы облегчить процесс расшифровки. В дополнение к этому во всплывающем окне предлагается дополнительная информация о заражении программой-вымогателем, в которой указывается, что процесс расшифровки требует уплаты выкупа в криптовалюте Биткойн. Хотя точная сумма выкупа не уточняется, предположительно она зависит от оперативности, с которой жертва инициирует контакт. Примечательно, что прежде чем совершить выплату выкупа, жертве предоставляется возможность бесплатно протестировать процесс расшифровки на пяти файлах.

Записка о выкупе заканчивается предостережениями для жертвы. В частности, он не рекомендует переименовывать зашифрованные файлы или пытаться использовать стороннее программное обеспечение для дешифрования, поскольку такие действия потенциально могут привести к безвозвратной потере данных. Эти детали подчеркивают тактику принуждения, используемую программой-вымогателем Dxen, подчеркивая финансовые и операционные риски, с которыми сталкиваются жертвы, которые могут быть вынуждены вступить в контакт с злоумышленниками, чтобы восстановить доступ к своим зашифрованным данным.

Программа-вымогатель Dxen отключает несколько вариантов восстановления

Dxen, как часть семейства Phobos Ransomware, имеет общие характеристики с другими программами этой группы, в первую очередь нацеленными на шифрование как локальных, так и общих сетевых файлов. Примечательно, что зараженные устройства остаются работоспособными, поскольку критические системные файлы намеренно не подвергаются шифрованию. Чтобы предотвратить исключения из-за файлов, которые считаются «используемыми», Dxen завершает процессы, связанные с открытыми файлами, такие как программы баз данных и программы чтения текстовых файлов.

Чтобы избежать двойного шифрования ранее скомпрометированных файлов, программы Phobos Ransomware ведут список типов программ-вымогателей. Однако эта стратегия не является надежной, поскольку она не охватывает все существующие вредоносные программы, шифрующие данные. Кроме того, эти программы-вымогатели принимают меры, чтобы исключить возможность восстановления файлов путем удаления теневых копий томов.

Устойчивость обеспечивается вредоносным ПО Phobos посредством саморепликации по пути %LOCALAPPDATA% и регистрации с помощью определенных ключей запуска. Следовательно, программа-вымогатель автоматически запускается после каждой перезагрузки системы, обеспечивая постоянное присутствие на зараженном устройстве.

Более того, Phobos Ransomware демонстрирует тревожную способность собирать данные о геолокации, что позволяет злоумышленникам оценить жизнеспособность продолжения заражения. На мотивацию этих атак могут влиять геополитические факторы, экономическая мощь региона или другие стратегические соображения, подчеркивающие многогранный характер угрозы, которую представляют программы-вымогатели внутри семейства Phobos.

Не следуйте инструкциям киберпреступников

Исследователи безопасности подчеркивают, что расшифровка данных, зашифрованных с помощью программ-вымогателей, обычно представляет собой сложную задачу без участия киберпреступников. Более того, даже когда жертвы выполняют требования о выкупе, они часто не получают обещанных инструментов расшифровки. Следовательно, эксперты настоятельно предостерегают от выплаты выкупа, поскольку это не только не гарантирует восстановление данных, но также способствует сохранению и поддержке незаконной деятельности.

Чтобы остановить шифрование дополнительных данных программами-вымогателями, небезопасное программное обеспечение необходимо полностью удалить из операционной системы. Однако важно отметить, что само удаление программы-вымогателя не приводит к автоматическому восстановлению зашифрованных файлов. Единственное применимое решение — восстановить файлы из ранее созданной резервной копии, при условии, что она существует и хранится в отдельном месте.

Чтобы повысить общую безопасность данных, эксперты рекомендуют применять упреждающий подход, сохраняя резервные копии в нескольких разных местах. Сюда могут входить удаленные серверы, отключенные устройства хранения данных и другие защищенные носители, гарантируя, что восстановление данных останется возможным вариантом в случае атаки программы-вымогателя. Эта комплексная стратегия помогает снизить риски, связанные с программами-вымогателями, и подчеркивает важность надежной системы резервного копирования для защиты ценных данных.

Основная записка с требованием выкупа, доставленная жертвам программы-вымогателя Dnex, выглядит следующим образом:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Текстовые файлы, созданные Dnex Ransomware, содержат следующее сообщение:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

В тренде

Наиболее просматриваемые

Загрузка...