Lexus Ransomware
Программы-вымогатели — это тип угрожающего программного обеспечения, предназначенный для предотвращения доступа к компьютеру или данным до тех пор, пока не будет выплачен выкуп. Эта форма кибератаки часто предполагает шифрование файлов жертвы, делая их недоступными и требуя выкуп за их выпуск.
Lexus Ransomware — это особая вредоносная программа, которая блокирует данные жертвы, шифруя широкий спектр файлов, делая их непригодными для использования и недоступными. Основная цель киберпреступников, стоящих за Lexus, — вымогательство у жертв, требуя выкуп за возможность восстановить их файлы. Помимо шифрования, Lexus также переименовывает файлы и генерирует две записки с требованием выкупа: «info.txt» и «info.hta». Исследователи безопасности идентифицировали программу-вымогатель Lexus как вариант семейства программ-вымогателей Phobos .
При переименовании файлов Lexus добавляет идентификатор жертвы, адрес электронной почты «emily.florez@zohomail.com» и файл. Расширение «Lexus» к исходным именам файлов. Например, «1.doc» становится «1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus», а «2.pdf» меняется на «2.pdf.id[9ECFA74E». -3506].[emily.florez@zohomail.com].Lexus».
Оглавление
Программа-вымогатель Lexus пытается вымогать выкуп у жертв
Записка о выкупе от Lexus Ransomware сообщает жертве, что ее данные были зашифрованы и похищены злоумышленниками. Чтобы восстановить доступ к своим данным, жертвы должны получить специальное программное обеспечение для дешифрования, предоставленное киберпреступниками. В примечании предупреждается, что попытка расшифровать данные самостоятельно или с помощью стороннего программного обеспечения может привести к безвозвратной потере данных. Кроме того, в примечании обещается, что после оплаты данные будут удалены и не будут проданы или использованы неправомерно.
Однако в записке также содержится угроза, что, если жертва не ответит в течение двух дней, украденные данные будут переданы заинтересованным сторонам. Он предоставляет два адреса электронной почты в качестве каналов связи с злоумышленниками (emily.florez@zohomail.com и barbara.li@gmx.com) и не рекомендует переименовывать любые зашифрованные файлы.
Семейство программ-вымогателей Phobos часто используется киберпреступниками
Программы-вымогатели семейства Phobos известны тем, что шифруют как локальные, так и общие сетевые файлы, отключают брандмауэры и удаляют теневые копии томов. Эти варианты обычно распространяются через небезопасные службы протокола удаленного рабочего стола (RDP).
Чтобы сохранить свое присутствие в зараженной системе, варианты Phobos Ransomware дублируют себя в определенные каталоги и регистрируются с помощью назначенных ключей запуска в реестре Windows. Они также собирают данные о местоположении и могут исключить определенные места из процесса шифрования.
Используйте комплексный подход к защите от вредоносных программ и программ-вымогателей.
Чтобы эффективно защититься от вредоносных программ и программ-вымогателей, пользователям следует использовать комплексный подход к безопасности, включающий следующие меры:
Регулярное резервное копирование :
Частое резервное копирование: регулярно создавайте резервные копии всех важных данных на внешних дисках или в облачном хранилище. Убедитесь, что резервные копии хранятся в автономном режиме или в безопасном удаленном месте, чтобы предотвратить их компрометацию во время атаки.
Тестирование восстановления. Если возможно, периодически проверяйте процесс восстановления, чтобы убедиться, что резервные копии работают правильно и данные можно восстановить.
Обновленное программное обеспечение :
Обновления операционной системы. Поддерживайте актуальность операционной системы, а также любого установленного программного обеспечения с помощью последних исправлений.
Автоматические обновления: по возможности включите автоматические обновления, чтобы обеспечить своевременное применение исправлений безопасности.
Надежное программное обеспечение безопасности :
Защита от вредоносных программ. Установите надежное антивирусное программное обеспечение, обеспечивающее защиту от угроз в режиме реального времени.
Защита с помощью брандмауэра. Используйте надежный брандмауэр, чтобы заблокировать несанкционированный доступ к вашей сети и системам.
Безопасная конфигурация :
Ограничить доступ по RDP: отключите протокол удаленного рабочего стола (RDP), если он не нужен, или защитите его с помощью надежных паролей, многофакторной аутентификации (MFA) и ограничения доступа через виртуальную частную сеть (VPN).
Принцип наименьших привилегий. Реализуйте принцип наименьших привилегий, ограничивая права доступа пользователей до минимума, необходимого для их роли.
Электронная почта и веб-безопасность :
Фильтрация электронной почты: используйте решения для фильтрации электронной почты, чтобы блокировать фишинговые письма и вредоносные вложения.
Веб-фильтрация. Внедрите веб-фильтрацию, чтобы ограничить доступ к известным вредоносным веб-сайтам и предотвратить посторонние загрузки.
Обучение и осведомленность пользователей :
Образовательные программы: проводите регулярные учебные занятия, чтобы информировать пользователей об опасностях вредоносных программ и программ-вымогателей, в том числе о том, как распознавать попытки фишинга и избегать небезопасных действий.
Имитированные атаки . Выполняйте симуляцию фишинговых атак для тестирования и повышения осведомленности пользователей.
Интегрируя эти меры в комплексную стратегию безопасности, пользователи могут значительно повысить свою защиту от вредоносных программ и программ-вымогателей, снижая риск заражения и уменьшая воздействие любых потенциальных атак.
Полный текст записки о выкупе, оставленной программой-вымогателем Lexus:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
