Multi-License Discount Quote
Podjetje o grožnjah Ransomware Dxen Ransomware

Dxen Ransomware

Do leta Mezo leta Ransomware
Prevedi v:
Slovenščina

Raziskovalci Infosec so nedavno odkrili novo grožnjo izsiljevalske programske opreme, znano kot Dxen. Ta vrsta zlonamerne programske opreme deluje tako, da šifrira datoteke na okuženi napravi in nato od žrtve zahteva plačilo za dešifriranje. Po uspešni infiltraciji v napravo Dxen sproži postopek šifriranja in spremeni imena datotek, shranjenih v sistemu. Spremenjena imena datotek vključujejo:

  • Žrtvi se dodeli edinstven identifikator.
  • E-poštni naslov napadalcev.
  • Pripona '.dxen'.

Na primer, datoteko s prvotnim imenom '1.jpg' je mogoče preoblikovati v '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Po zaključku postopka šifriranja Dxen ustvari obvestila o odkupnini, ki jih žrtve prikažejo prek pojavnega okna ('info.hta') in besedilne datoteke ('info.txt'). Te datoteke so strateško postavljene v vse šifrirane imenike in na namizje, da se prizadetemu uporabniku zagotovi vidnost. Predvsem je bil Dxen potrjen kot različica, ki izvira iz družine izsiljevalskih programov Phobos , kar kaže na povezavo s to vrsto nevarne programske opreme.

Izsiljevalska programska oprema Dxen skuša od svojih žrtev izsiliti denar

Besedilna datoteka, ki jo ustvari izsiljevalska programska oprema Dxen, sporoči žrtvi, da so bili njeni podatki šifrirani, in jo poziva, naj vzpostavi stik z napadalci, da olajša postopek dešifriranja. Poleg tega spremljajoče pojavno okno ponuja nadaljnje podrobnosti o okužbi z izsiljevalsko programsko opremo, pri čemer je navedeno, da je za postopek dešifriranja potrebno plačilo odkupnine v kriptovaluti Bitcoin. Čeprav natančen znesek odkupnine ni določen, je domnevno odvisen od hitrosti, s katero žrtev vzpostavi stik. Predvsem žrtev, preden se zaveže k plačilu odkupnine, dobi priložnost, da preizkusi postopek dešifriranja na do petih datotekah brez kakršnih koli stroškov.

Obvestilo o odkupnini se zaključi s svarili za žrtev. Natančneje, odsvetuje preimenovanje šifriranih datotek ali poskus uporabe programske opreme za dešifriranje tretjih oseb, saj lahko takšna dejanja povzročijo trajno izgubo podatkov. Te podrobnosti poudarjajo prisilne taktike, ki jih uporablja izsiljevalska programska oprema Dxen, s poudarkom na finančnih in operativnih tveganjih, s katerimi se soočajo žrtve, ki so morda prisiljene sodelovati z napadalci, da bi ponovno pridobile dostop do svojih šifriranih podatkov.

Izsiljevalska programska oprema Dxen izklopi več možnosti obnovitve

Dxen, kot del družine izsiljevalskih programov Phobos, ima enake lastnosti kot drugi programi v tej skupini, pri čemer cilja predvsem na lokalne in omrežne datoteke za šifriranje. Predvsem okužene naprave ostanejo delujoče, saj so kritične sistemske datoteke namenoma prihranjene procesu šifriranja. Da prepreči izjeme zaradi datotek, ki se štejejo za "v uporabi", Dxen prekine procese, povezane z odprtimi datotekami, kot so programi za zbirke podatkov in bralniki besedilnih datotek.

Da bi se izognili dvojnemu šifriranju predhodno ogroženih datotek, programi Phobos Ransomware vzdržujejo seznam vrst izsiljevalske programske opreme. Vendar ta strategija ni zanesljiva, saj ne zajema vse obstoječe zlonamerne programske opreme za šifriranje podatkov. Poleg tega ti izsiljevalski programi izvajajo ukrepe za odpravo možnosti obnovitve datotek z brisanjem kopij senčnih nosilcev.

Vztrajnost zagotavlja zlonamerna programska oprema Phobos s samopodvajanjem na pot %LOCALAPPDATA% in registracijo s posebnimi ključi Run. Posledično se izsiljevalska programska oprema samodejno zažene po vsakem ponovnem zagonu sistema, kar zagotavlja dosledno prisotnost na okuženi napravi.

Poleg tega izsiljevalska programska oprema Phobos izkazuje zaskrbljujočo zmogljivost z zbiranjem podatkov o geolokaciji, kar napadalcem omogoča, da ocenijo možnost preživetja nadaljevanja okužbe. Na motivacijo za temi napadi lahko vplivajo geopolitični dejavniki, gospodarska moč regije ali drugi strateški vidiki, ki poudarjajo večplastnost grožnje, ki jo predstavlja izsiljevalska programska oprema znotraj družine Phobos.

Ne sledite navodilom kibernetskih kriminalcev

Varnostni raziskovalci poudarjajo, da je dešifriranje podatkov, šifriranih z grožnjami izsiljevalske programske opreme, običajno zapletena naloga brez vpletenosti kibernetskih kriminalcev. Poleg tega, tudi ko žrtve ugodijo zahtevam po odkupnini, pogosto ne dobijo obljubljenih orodij za dešifriranje. Posledično strokovnjaki močno svarijo pred plačevanjem odkupnin, saj ne le da ne zagotavljajo obnovitve podatkov, ampak tudi ohranjajo in podpirajo nezakonite dejavnosti.

Če želite zaustaviti šifriranje dodatnih podatkov z izsiljevalsko programsko opremo, je treba nevarno programsko opremo v celoti odstraniti iz operacijskega sistema. Vendar je ključnega pomena vedeti, da sama odstranitev izsiljevalske programske opreme ne obnovi samodejno šifriranih datotek. Edina uporabna rešitev je obnovitev datotek iz predhodno ustvarjene varnostne kopije, pod pogojem, da obstaja in je shranjena na ločeni lokaciji.

Za izboljšanje splošne varnosti podatkov strokovnjaki priporočajo proaktiven pristop z vzdrževanjem varnostnih kopij na več in različnih lokacijah. To lahko vključuje oddaljene strežnike, odklopljene pomnilniške naprave in druge varne medije, kar zagotavlja, da obnovitev podatkov ostane izvedljiva možnost v primeru napada izsiljevalske programske opreme. Ta celovita strategija pomaga ublažiti tveganja, povezana z izsiljevalsko programsko opremo, in poudarja pomen robustnega sistema varnostnega kopiranja pri varovanju dragocenih podatkov.

Glavno obvestilo o odkupnini, dostavljeno žrtvam izsiljevalske programske opreme Dnex, je:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Besedilne datoteke, ki jih ustvari Dnex Ransomware, vsebujejo to sporočilo:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

V trendu

Najbolj gledan

Nalaganje...