Lexus Ransomware
Рансомваре је врста претећег софтвера дизајнираног да спречи приступ рачунару или подацима док се откупнина не плати. Овај облик сајбер напада често укључује шифровање датотека жртве, чинећи их недоступним и захтевајући откуп за њихово ослобађање.
Лекус Рансомваре је специфична претња малвера која закључава податке жртава шифровањем широког спектра датотека, чинећи их неупотребљивим и недоступним. Примарни циљ сајбер криминалаца који стоје иза Лекуса је да изнуде жртве тражећи откупнину за прилику да обнове своје датотеке. Осим шифровања, Лекус такође преименује датотеке и генерише две белешке о откупнини, 'инфо.ткт' и 'инфо.хта'. Истраживачи безбедности су идентификовали Лекус Рансомваре као варијанту породице Пхобос Рансомваре .
Приликом преименовања датотека, Лекус додаје ИД жртве, адресу е-поште „емили.флорез@зохомаил.цом“ и. 'Лекус' екстензија за оригинална имена датотека. На пример, „1.доц“ постаје „1.доц.ид[9ЕЦФА74Е-3506].[емили.флорез@зохомаил.цом].Лекус“, а „2.пдф“ се мења у „2.пдф.ид[9ЕЦФА74Е]. -3506].[емили.флорез@зохомаил.цом].Лекус'.
Преглед садржаја
Lexus Ransomware настоји да изнуди откупнину од жртава
Обавештење о откупнини од Лекус Рансомваре-а обавештава жртву да су нападачи шифровали и ексфилтрирали њихове податке. Да би повратиле приступ својим подацима, жртве морају набавити посебан софтвер за дешифровање који обезбеђују сајбер криминалци. У напомени се упозорава да покушај самосталног дешифровања података или коришћење софтвера треће стране може довести до трајног губитка података. Поред тога, напомена обећава да ће након плаћања подаци бити избрисани и да се неће продавати или користити на зло.
Међутим, у поруци се такође прети да ће, уколико жртва не одговори у року од два дана, ексфилтрирани подаци бити подељени заинтересованим лицима. Обезбеђује две адресе е-поште као комуникационе канале са нападачима (емили.флорез@зохомаил.цом и барбара.ли@гмк.цом) и саветује да не преименујете било које шифроване датотеке.
Породицу Пхобос Рансомваре-а често користе сајбер криминалци
Рансомваре из породице Пхобос је озлоглашен по шифровању и локалних и мрежних датотека, онемогућавању заштитних зидова и брисању копија Схадов Волуме. Ове варијанте се обично шире кроз несигурне услуге протокола за удаљену радну површину (РДП).
Да би задржале своје присуство на зараженом систему, варијанте Пхобос Рансомваре-а се дуплирају у одређене директоријуме и региструју се са одређеним Рун кључевима у Виндовс регистру. Они такође прикупљају податке о локацији и могу искључити одређене локације из процеса шифровања.
Предузмите свеобухватан приступ безбедности против малвера и рансомвера
Да би се ефикасно заштитили од малвера и рансомвера, корисници би требало да прихвате свеобухватан безбедносни приступ који укључује следеће мере:
Редовне резервне копије :
Честе резервне копије: Редовно правите резервне копије свих важних података на спољним дисковима или складишту у облаку. Уверите се да се резервне копије чувају ван мреже или на безбедној, удаљеној локацији како бисте спречили да буду компромитовани током напада.
Тестирајте рестаурације: Ако је могуће, повремено тестирајте процес обнављања да бисте потврдили да резервне копије функционишу исправно и да се подаци могу опоравити.
Ажурни софтвер :
Ажурирања оперативног система: Одржавајте оперативни систем, као и сваки инсталирани софтвер, ажурним са најновијим закрпама.
Аутоматско ажурирање: Омогућите аутоматска ажурирања где је то могуће да бисте обезбедили благовремену примену безбедносних закрпа.
Јак безбедносни софтвер :
Анти-малвер: Инсталирајте реномирани анти-малвер софтвер који нуди заштиту од претњи у реалном времену.
Заштита заштитног зида: Користите снажан заштитни зид да блокирате неовлашћени приступ вашој мрежи и системима.
Сигурна конфигурација :
Ограничите РДП приступ: Онемогућите протокол удаљене радне површине (РДП) ако није потребан или га обезбедите коришћењем јаких лозинки, вишефакторске провере аутентичности (МФА) и ограничавања приступа преко виртуелне приватне мреже (ВПН).
Принцип најмање привилегија: Спроведите принцип најмање привилегија ограничавањем права приступа корисника на минимум неопходан за њихову улогу.
Безбедност е-поште и веба :
Филтрирање е-поште: Користите решења за филтрирање е-поште да блокирате пхисхинг е-поруке и злонамерне прилоге.
Веб филтрирање: Примените веб филтрирање да бисте ограничили приступ познатим злонамерним веб локацијама и спречили преузимања у покрету.
Образовање и свест корисника :
Образовни програми: Обављајте редовне сесије обуке да бисте кориснике едуковали о опасностима од малвера и рансомвера, укључујући како да препознају покушаје „пецања“ и избегну небезбедне праксе.
Симулирани напади : Извршите симулиране пхисхинг нападе да бисте тестирали и побољшали свест корисника.
Интеграцијом ових мера у свеобухватну безбедносну стратегију, корисници могу значајно да побољшају своју одбрану од малвера и рансомвера, смањујући ризик од инфекције и смањујући утицај било каквих потенцијалних напада.
Комплетан текст поруке о откупнини коју је оставио Лекус Рансомваре је:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
