Multi-License Discount Quote
Тхреат Датабасе Ransomware Дкен Рансомваре

Дкен Рансомваре

До Mezo. у Ransomware
Преведи на:
Српски

Инфосец истраживачи су недавно открили нову претњу рансомваре-а познату као Дкен. Ова врста злонамерног софтвера функционише тако што шифрује датотеке на зараженом уређају, а затим захтева плаћање од жртве за дешифровање. Након успешног инфилтрирања у уређај, Дкен покреће процес шифровања, мењајући имена датотека сачуваних на систему. Измењени називи датотека укључују:

  • Јединствени идентификатор се додељује жртви.
  • Имејл адреса нападача.
  • Екстензија '.дкен'.

На пример, датотека првобитно названа '1.јпг' може се трансформисати у '1.јпг.ид[9ЕЦФА74Е-3536].[винсулан@тутанота.цом].дкен.'

Након завршетка процеса шифровања, Дкен генерише белешке о откупнини представљене жртвама кроз искачући прозор ('инфо.хта') и текстуалну датотеку ('инфо.ткт'). Ове датотеке су стратешки смештене у свим шифрованим директоријумима и на радној површини како би се осигурала видљивост погођеном кориснику. Значајно је да је Дкен потврђена као варијанта која потиче из породице Пхобос Рансомваре , што указује на везу са овом врстом претећег софтвера.

Дкен Рансомваре настоји да изнуди новац од својих жртава

Текстуална датотека коју генерише Дкен рансомваре саопштава жртви да су њихови подаци подвргнути шифровању и позива их да успоставе контакт са нападачима како би олакшали процес дешифровања. Поред овога, пратећи искачући прозор нуди додатне детаље у вези са инфекцијом рансомвером, наводећи да процес дешифровања захтева плаћање откупнине у криптовалути Битцоин. Иако је тачан износ откупнине остављен неодређен, наводно зависи од брзине којом жртва започне контакт. Нарочито, пре него што се обавеже на плаћање откупнине, жртви се даје могућност да тестира процес дешифровања на до пет датотека без икакве накнаде.

Порука о откупнини завршава се упозорењима жртви. Конкретно, саветује се против преименовања шифрованих датотека или покушаја коришћења софтвера за дешифровање треће стране, јер такве радње потенцијално могу довести до трајног губитка података. Ови детаљи наглашавају тактику принуде коју користи Дкен Рансомваре, наглашавајући финансијске и оперативне ризике са којима се суочавају жртве које могу бити принуђене да се ангажују са нападачима како би повратиле приступ својим шифрованим подацима.

Дкен Рансомваре искључује неколико опција опоравка

Дкен, као део Пхобос Рансомваре породице, дели карактеристике са другим програмима у овој групи, првенствено циљајући и локалне и мрежне датотеке за шифровање. Значајно је да заражени уређаји остају оперативни, јер су критичне системске датотеке намерно поштеђене процеса шифровања. Да би спречио изузетке због датотека које се сматрају „у употреби“, Дкен прекида процесе повезане са отвореним датотекама, као што су програми базе података и читачи текстуалних датотека.

Да би се избегло двоструко шифровање претходно компромитованих датотека, програми Пхобос Рансомваре одржавају листу типова рансомвера. Међутим, ова стратегија није сигурна, јер не обухвата сав постојећи малвер за шифровање података. Поред тога, ови програми рансомваре-а предузимају мере да елиминишу могућност опоравка датотеке брисањем копија сенки.

Постојаност је обезбеђена злонамерним софтвером Пхобос кроз саморепликацију на путању %ЛОЦАЛАППДАТА% и регистрацију са одређеним Рун кључевима. Сходно томе, рансомваре се аутоматски покреће након сваког поновног покретања система, обезбеђујући доследно присуство на зараженом уређају.

Штавише, Пхобос Рансомваре испољава забрињавајућу способност прикупљањем података о геолокацији, омогућавајући нападачима да процене одрживост наставка инфекције. На мотивацију иза ових напада могу утицати геополитички фактори, економска снага региона или друга стратешка разматрања, наглашавајући вишеструку природу претње коју представља рансомваре унутар породице Фобос.

Немојте следити упутства кибернетичких криминалаца

Истраживачи безбедности наглашавају да је дешифровање података шифрованих претњама рансомваре-а обично сложен задатак без учешћа сајбер криминалаца. Штавише, чак и када жртве испуњавају захтеве за откупнином, често не добијају обећане алате за дешифровање. Сходно томе, стручњаци снажно упозоравају на плаћање откупнине, јер не само да не гарантује опоравак података, већ и одржава и подржава незаконите активности.

Да би се зауставило шифровање додатних података помоћу рансомваре-а, небезбедни софтвер мора бити потпуно искорењен из оперативног система. Међутим, кључно је напоменути да само уклањање рансомвера не враћа аутоматски шифроване датотеке. Једино применљиво решење је опоравак датотека из претходно креиране резервне копије, под условом да она постоји и да је ускладиштена на посебној локацији.

Да би побољшали укупну безбедност података, стручњаци препоручују усвајање проактивног приступа одржавањем резервних копија на више различитих локација. Ово може укључивати удаљене сервере, искључене уређаје за складиштење и друге сигурне медије, осигуравајући да опоравак података остане изводљива опција у случају напада рансомваре-а. Ова свеобухватна стратегија помаже у ублажавању ризика повезаних са рансомваре-ом и наглашава важност робусног система резервних копија у заштити драгоцених података.

Главна порука за откуп достављена жртвама Днек Рансомваре-а је:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Текстуалне датотеке које генерише Днек Рансомваре садрже следећу поруку:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

У тренду

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
34,392
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...