Multi-License Discount Quote
Hotdatabas Ransomware Dxen Ransomware

Dxen Ransomware

Med Mezo år Ransomware
Översätt till:
Svenska

Infosec-forskare har nyligen upptäckt ett nytt ransomware-hot känt som Dxen. Denna typ av skadlig programvara fungerar genom att kryptera filer på en infekterad enhet och sedan kräva betalning från offret för dekryptering. Efter att ha lyckats infiltrera en enhet initierar Dxen krypteringsprocessen och ändrar namnen på filerna som lagras i systemet. De modifierade filnamnen inkluderar:

  • En unik identifierare tilldelas offret.
  • E-postadressen till angriparna.
  • En '.dxen'-tillägg.

Till exempel kan en fil som ursprungligen hette '1.jpg' omvandlas till '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Efter slutförandet av krypteringsprocessen genererar Dxen lösensedlar som presenteras för offren genom ett popup-fönster ('info.hta') och en textfil ('info.txt'). Dessa filer är strategiskt placerade i alla krypterade kataloger och på skrivbordet för att säkerställa synlighet för den berörda användaren. Noterbart har Dxen bekräftats som en variant som kommer från Phobos Ransomware -familjen, vilket indikerar en koppling till just denna stam av hotfull programvara.

Dxen Ransomware försöker pressa ut pengar från sina offer

Textfilen som genereras av Dxen ransomware kommunicerar till offret att deras data har genomgått kryptering och uppmanar dem att etablera kontakt med angriparna för att underlätta dekrypteringsprocessen. Utöver detta erbjuder det medföljande popup-fönstret ytterligare information om ransomware-infektionen, som anger att dekrypteringsprocessen kräver betalning av en lösensumma i Bitcoin kryptovaluta. Även om det exakta lösenbeloppet lämnas ospecificerat, är det påstås beroende av hur snabbt offret initierar kontakt. Framförallt får offret möjligheten att testa dekrypteringsprocessen på upp till fem filer utan någon kostnad innan han förbinder sig att betala lösen.

Lösenedeln avslutas med varningar till offret. Specifikt avråder det från att byta namn på de krypterade filerna eller att försöka använda tredjeparts dekrypteringsmjukvara, eftersom sådana åtgärder potentiellt kan resultera i permanent dataförlust. Dessa detaljer understryker de tvångstaktik som används av Dxen Ransomware, och betonar de finansiella och operativa risker som offer står inför som kan tvingas engagera sig med angriparna för att återfå åtkomst till deras krypterade data.

Dxen Ransomware stänger av flera återställningsalternativ

Dxen, som en del av Phobos Ransomware-familjen, delar egenskaper med andra program inom denna grupp, främst inriktade på både lokala och nätverksdelade filer för kryptering. Anmärkningsvärt är att infekterade enheter förblir i drift, eftersom kritiska systemfiler avsiktligt besparas från krypteringsprocessen. För att förhindra undantag på grund av filer som anses vara "använda", avslutar Dxen processer som är associerade med öppna filer, såsom databasprogram och textfilläsare.

För att undvika dubbelkryptering av tidigare komprometterade filer upprätthåller Phobos Ransomware-programmen en lista över ransomware-typer. Denna strategi är dock inte idiotsäker, eftersom den inte omfattar all befintlig datakrypterande skadlig kod. Dessutom vidtar dessa ransomware-program åtgärder för att eliminera möjligheten till filåterställning genom att torka av Shadow Volume Copies.

Persistens säkerställs av Phobos malware genom självreplikering till %LOCALAPPDATA%-sökvägen och registrering med specifika Run-nycklar. Följaktligen startar ransomware automatiskt efter varje systemstart, vilket säkerställer en konsekvent närvaro på den infekterade enheten.

Dessutom uppvisar Phobos Ransomware en oroande förmåga genom att samla in geolokaliseringsdata, vilket gör att angriparna kan bedöma om det är lönsamt att fortsätta med infektionen. Motivationen bakom dessa attacker kan påverkas av geopolitiska faktorer, regionens ekonomiska styrka eller andra strategiska överväganden, vilket belyser den mångfacetterade karaktären hos hotet från ransomware inom Phobos-familjen.

Följ inte instruktionerna som lämnats av cyberbrottslingar

Säkerhetsforskare betonar att dekryptering av data krypterad av ransomware-hot vanligtvis är en komplex uppgift utan inblandning av cyberbrottslingar. Dessutom, även när offren följer krav på lösen, får de ofta inte de utlovade dekrypteringsverktygen. Följaktligen varnar experter starkt mot att betala lösensummor, eftersom det inte bara misslyckas med att garantera dataåterställning utan också vidmakthåller och stöder olaglig verksamhet.

För att stoppa krypteringen av ytterligare data med ransomware måste den osäkra programvaran helt utrotas från operativsystemet. Det är dock viktigt att notera att borttagningen av själva ransomwaren inte automatiskt återställer krypterade filer. Den enda tillämpliga lösningen är att återställa filer från en tidigare skapad säkerhetskopia, förutsatt att den finns och lagras på en separat plats.

För att förbättra den övergripande datasäkerheten rekommenderar experter att man använder ett proaktivt tillvägagångssätt genom att underhålla säkerhetskopior på flera och distinkta platser. Detta kan inkludera fjärrservrar, frånkopplade lagringsenheter och andra säkra medier, vilket säkerställer att dataåterställning förblir ett genomförbart alternativ i händelse av en ransomware-attack. Denna omfattande strategi hjälper till att minska riskerna i samband med ransomware och understryker vikten av ett robust säkerhetskopieringssystem för att skydda värdefull data.

Den huvudsakliga lösensumman som levereras till offer för Dnex Ransomware är:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Textfilerna som genereras av Dnex Ransomware innehåller följande meddelande:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Trendigt

Mest sedda

Läser in...