Lexus Ransomware
Ransomware är en typ av hotfull programvara utformad för att förhindra åtkomst till en dator eller data tills en lösensumma betalas. Denna form av cyberattack innebär ofta kryptering av offrets filer, vilket gör dem otillgängliga och kräver en lösensumma för att de ska släppas.
Lexus Ransomware är ett specifikt skadlig programvara som låser offrens data genom att kryptera ett brett utbud av filer, vilket gör dem oanvändbara och otillgängliga. Det primära målet för cyberbrottslingarna bakom Lexus är att utpressa offer genom att kräva en lösensumma för chansen att återställa deras filer. Utöver kryptering döper Lexus också om filer och genererar två lösensedlar, 'info.txt' och 'info.hta'. Säkerhetsforskare har identifierat Lexus Ransomware som en variant av Phobos Ransomware- familjen.
När du byter namn på filer lägger Lexus till offrets ID, e-postadressen 'emily.florez@zohomail.com' och. 'Lexus'-tillägg till de ursprungliga filnamnen. Till exempel blir '1.doc' '1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus' och '2.pdf' ändras till '2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Innehållsförteckning
Lexus Ransomware försöker pressa ut lösensumma från offer
Lösennotan från Lexus Ransomware informerar offret om att deras data har krypterats och exfiltrerats av angriparna. För att återfå åtkomst till sina uppgifter måste offren skaffa specifik dekrypteringsmjukvara som tillhandahålls av cyberbrottslingarna. Anteckningen varnar för att försök att dekryptera data självständigt eller använda programvara från tredje part kan leda till permanent dataförlust. Dessutom lovar anteckningen att vid betalning kommer uppgifterna att raderas och kommer inte att säljas eller användas illa.
Noteringen hotar dock också att om offret inte svarar inom två dagar kommer den exfiltrerade informationen att delas med berörda parter. Den tillhandahåller två e-postadresser som kommunikationskanaler med angriparna (emily.florez@zohomail.com och barbara.li@gmx.com) och avråder från att byta namn på krypterade filer.
Phobos Ransomware-familjen används ofta av cyberkriminella
Ransomware från Phobos-familjen är ökända för att kryptera både lokala och nätverksdelade filer, inaktivera brandväggar och ta bort Shadow Volume Copies. Dessa varianter sprids vanligtvis genom osäkra RDP-tjänster (Remote Desktop Protocol).
För att behålla sin närvaro på det infekterade systemet duplicerar Phobos Ransomware-varianterna sig själva till specifika kataloger och registreras med angivna Run-nycklar i Windows-registret. De samlar också in platsdata och kan utesluta vissa platser från krypteringsprocessen.
Ta en omfattande säkerhetsstrategi mot skadlig programvara och ransomware
För att effektivt skydda mot skadlig programvara och ransomware bör användare anamma en omfattande säkerhetsstrategi som inkluderar följande åtgärder:
Regelbundna säkerhetskopior :
Frekventa säkerhetskopieringar: Säkerhetskopiera regelbundet all viktig data till externa enheter eller molnlagring. Se till att säkerhetskopior förvaras offline eller på en säker, avlägsen plats för att förhindra att de äventyras under en attack.
Testa återställningar: Om möjligt, testa regelbundet återställningsprocessen för att bekräfta att säkerhetskopior fungerar korrekt och att data kan återställas.
Uppdaterad programvara :
Operativsystemuppdateringar: Håll både operativsystemet och all installerad programvara uppdaterad med de senaste patcharna.
Automatiska uppdateringar: Aktivera automatiska uppdateringar där det är möjligt för att säkerställa snabb tillämpning av säkerhetskorrigeringar.
Stark säkerhetsprogramvara :
Anti-malware: Installera ansedd anti-malware-programvara som erbjuder realtidsskydd mot hot.
Brandväggsskydd: Använd en robust brandvägg för att blockera obehörig åtkomst till ditt nätverk och dina system.
Säker konfiguration :
Begränsa RDP-åtkomst: Inaktivera Remote Desktop Protocol (RDP) om det inte behövs, eller säkra det genom att använda starka lösenord, multifaktorautentisering (MFA) och begränsa åtkomst via ett virtuellt privat nätverk (VPN).
Minsta privilegieprincip: Utför principen om minsta privilegium genom att begränsa användarnas åtkomsträttigheter till det minimum som krävs för deras roll.
E-post och webbsäkerhet :
E-postfiltrering: Använd e-postfiltreringslösningar för att blockera nätfiske-e-postmeddelanden och skadliga bilagor.
Webbfiltrering: Implementera webbfiltrering för att begränsa åtkomsten till kända skadliga webbplatser och förhindra drive-by-nedladdningar.
Användarutbildning och medvetenhet :
Utbildningsprogram: Genomför regelbundna utbildningssessioner för att utbilda användare om farorna med skadlig programvara och ransomware, inklusive hur man erkänner nätfiskeförsök och undviker osäkra metoder.
Simulerade attacker : Utför simulerade nätfiskeattacker för att testa och förbättra användarnas medvetenhet.
Genom att integrera dessa åtgärder i en omfattande säkerhetsstrategi kan användare avsevärt förbättra sitt försvar mot skadlig programvara och ransomware, minska risken för infektion och minska effekten av eventuella attacker.
Den fullständiga texten i lösennotan som lämnats av Lexus Ransomware är:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
