Multi-License Discount Quote
Databáza hrozieb Ransomware Dxen Ransomware

Dxen Ransomware

Do roku Mezo v roku Ransomware
Preložiť do:
Slovenčina

Výskumníci z Infosec nedávno odhalili novú ransomvérovú hrozbu známu ako Dxen. Tento typ malvéru funguje tak, že zašifruje súbory na infikovanom zariadení a potom od obete požaduje platbu za dešifrovanie. Po úspešnom infiltrovaní zariadenia Dxen spustí proces šifrovania a zmení názvy súborov uložených v systéme. Medzi upravené názvy súborov patria:

  • Obeti je pridelený jedinečný identifikátor.
  • E-mailové adresy útočníkov.
  • Rozšírenie „.dxen“.

Napríklad súbor pôvodne s názvom '1.jpg' môže byť transformovaný na '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Po dokončení procesu šifrovania Dxen generuje výkupné, ktoré sa obetiam predkladajú prostredníctvom kontextového okna („info.hta“) a textového súboru („info.txt“). Tieto súbory sú strategicky umiestnené vo všetkých šifrovaných adresároch a na pracovnej ploche, aby sa zabezpečila viditeľnosť pre dotknutého používateľa. Je pozoruhodné, že Dxen bol potvrdený ako variant pochádzajúci z rodiny Phobos Ransomware , čo naznačuje spojenie s týmto konkrétnym kmeňom ohrozujúceho softvéru.

Dxen Ransomware sa snaží vymámiť peniaze od svojich obetí

Textový súbor vygenerovaný ransomvérom Dxen oznámi obeti, že jej údaje prešli šifrovaním, a vyzýva ju, aby nadviazala kontakt s útočníkmi, aby sa uľahčil proces dešifrovania. Okrem toho sprievodné vyskakovacie okno ponúka ďalšie podrobnosti týkajúce sa infekcie ransomware, pričom sa uvádza, že proces dešifrovania si vyžaduje zaplatenie výkupného v kryptomene Bitcoin. Zatiaľ čo presná výška výkupného zostáva nešpecifikovaná, údajne závisí od rýchlosti, s akou obeť nadviaže kontakt. Pred tým, ako sa obeť zaviaže zaplatiť výkupné, dostane príležitosť vyskúšať si proces dešifrovania až na piatich súboroch bez akýchkoľvek poplatkov.

Výkupné končí varovnými varovaniami pre obeť. Konkrétne neodporúča premenovávať zašifrované súbory alebo sa pokúšať použiť dešifrovací softvér tretích strán, pretože takéto akcie môžu potenciálne viesť k trvalej strate údajov. Tieto podrobnosti podčiarkujú donucovaciu taktiku používanú Dxen Ransomware a zdôrazňujú finančné a prevádzkové riziká, ktorým čelia obete, ktoré môžu byť prinútené spojiť sa s útočníkmi, aby znovu získali prístup k ich zašifrovaným údajom.

Dxen Ransomware vypne niekoľko možností obnovenia

Dxen, ako súčasť rodiny Phobos Ransomware, zdieľa charakteristiky s inými programami v rámci tejto skupiny, pričom sa primárne zameriava na lokálne aj sieťovo zdieľané súbory na šifrovanie. Najmä infikované zariadenia zostávajú funkčné, pretože kritické systémové súbory sú zámerne ušetrené od procesu šifrovania. Aby sa predišlo výnimkám v dôsledku súborov považovaných za „používané“, Dxen ukončuje procesy spojené s otvorenými súbormi, ako sú databázové programy a čítačky textových súborov.

Aby sa predišlo dvojitému šifrovaniu predtým napadnutých súborov, programy Phobos Ransomware uchovávajú zoznam typov ransomvéru. Táto stratégia však nie je spoľahlivá, pretože nezahŕňa všetok existujúci malvér na šifrovanie údajov. Tieto ransomvérové programy navyše prijímajú opatrenia na elimináciu možnosti obnovy súborov vymazaním tieňových kópií zväzku.

Pretrvávanie je zabezpečené malvérom Phobos prostredníctvom samoreplikácie na cestu %LOCALAPPDATA% a registráciou pomocou špecifických kľúčov Run. V dôsledku toho sa ransomvér automaticky spustí po každom reštarte systému, čím sa zabezpečí konzistentná prítomnosť na infikovanom zariadení.

Okrem toho Phobos Ransomware vykazuje znepokojujúcu schopnosť zhromažďovaním údajov o geolokácii, čo umožňuje útočníkom posúdiť životaschopnosť pokračovania v infekcii. Motivácia týchto útokov môže byť ovplyvnená geopolitickými faktormi, ekonomickou silou regiónu alebo inými strategickými úvahami, ktoré zdôrazňujú mnohostrannú povahu hrozby, ktorú predstavuje ransomvér v rámci rodiny Phobos.

Neriaďte sa pokynmi, ktoré zanechali kyberzločinci

Výskumníci v oblasti bezpečnosti zdôrazňujú, že dešifrovanie údajov zašifrovaných hrozbami ransomvéru je zvyčajne zložitá úloha bez zapojenia kyberzločincov. Navyše, aj keď obete spĺňajú požiadavky na výkupné, často nedostanú sľúbené dešifrovacie nástroje. V dôsledku toho odborníci dôrazne varujú pred platením výkupného, pretože nielenže nezaručuje obnovu údajov, ale tiež udržiava a podporuje nezákonné aktivity.

Ak chcete zastaviť šifrovanie ďalších údajov pomocou ransomvéru, nebezpečný softvér musí byť úplne odstránený z operačného systému. Je však dôležité poznamenať, že odstránenie samotného ransomvéru automaticky neobnoví šifrované súbory. Jediným použiteľným riešením je obnoviť súbory z predtým vytvorenej zálohy za predpokladu, že existuje a je uložená na samostatnom mieste.

Na zvýšenie celkovej bezpečnosti údajov odborníci odporúčajú prijať proaktívny prístup udržiavaním záloh na viacerých a odlišných miestach. To môže zahŕňať vzdialené servery, odpojené úložné zariadenia a iné zabezpečené médiá, čím sa zaistí, že obnova dát zostane realizovateľnou možnosťou v prípade útoku ransomware. Táto komplexná stratégia pomáha zmierniť riziká spojené s ransomvérom a podčiarkuje dôležitosť robustného zálohovacieho systému pri ochrane cenných údajov.

Hlavná poznámka o výkupnom doručená obetiam Dnex Ransomware je:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Textové súbory generované Dnex Ransomware obsahujú nasledujúcu správu:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Trendy

Najviac videné

Načítava...