Multi-License Discount Quote
ฐานข้อมูลภัยคุกคาม Ransomware Dxen แรนซัมแวร์

Dxen แรนซัมแวร์

โดย Mezo ใน Ransomware
แปลเป็น:
ภาษาไทย

นักวิจัยของ Infosec เพิ่งค้นพบภัยคุกคามแรนซัมแวร์ตัวใหม่ที่เรียกว่า Dxen มัลแวร์ประเภทนี้ทำงานโดยการเข้ารหัสไฟล์บนอุปกรณ์ที่ติดไวรัส จากนั้นเรียกร้องการชำระเงินจากเหยื่อเพื่อถอดรหัส เมื่อแทรกซึมอุปกรณ์ได้สำเร็จ Dxen จะเริ่มกระบวนการเข้ารหัส โดยเปลี่ยนชื่อไฟล์ที่จัดเก็บไว้ในระบบ ชื่อไฟล์ที่แก้ไขได้แก่:

  • ตัวระบุที่ไม่ซ้ำกันถูกกำหนดให้กับเหยื่อ
  • ที่อยู่อีเมลของผู้โจมตี
  • ส่วนขยาย '.dxen'

ตัวอย่างเช่น ไฟล์เดิมชื่อ '1.jpg' อาจถูกแปลงเป็น '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen'

หลังจากเสร็จสิ้นกระบวนการเข้ารหัส Dxen จะสร้างบันทึกค่าไถ่ที่แสดงต่อเหยื่อผ่านหน้าต่างป๊อปอัป ('info.hta') และไฟล์ข้อความ ('info.txt') ไฟล์เหล่านี้จะถูกวางไว้อย่างมีกลยุทธ์ในไดเร็กทอรีที่เข้ารหัสทั้งหมดและบนเดสก์ท็อปเพื่อให้แน่ใจว่าผู้ใช้ที่ได้รับผลกระทบจะมองเห็นได้ โดยเฉพาะอย่างยิ่ง Dxen ได้รับการยืนยันว่าเป็นตัวแปรที่มาจากตระกูล Phobos Ransomware ซึ่งบ่งบอกถึงความเชื่อมโยงกับซอฟต์แวร์คุกคามสายพันธุ์นี้

Dxen Ransomware พยายามรีดไถเงินจากเหยื่อ

ไฟล์ข้อความที่สร้างโดย Dxen ransomware จะสื่อสารกับเหยื่อว่าข้อมูลของพวกเขาได้รับการเข้ารหัส และกระตุ้นให้พวกเขาติดต่อกับผู้โจมตีเพื่ออำนวยความสะดวกในกระบวนการถอดรหัส นอกจากนี้ หน้าต่างป๊อปอัปที่ให้มาจะให้รายละเอียดเพิ่มเติมเกี่ยวกับการติดแรนซัมแวร์ โดยระบุว่ากระบวนการถอดรหัสจำเป็นต้องชำระค่าไถ่เป็นสกุลเงินดิจิตอล Bitcoin แม้ว่าจำนวนเงินค่าไถ่ที่แน่นอนจะไม่ได้ระบุ แต่ก็มีเจตนาขึ้นอยู่กับความรวดเร็วที่เหยื่อเริ่มการติดต่อ โดยเฉพาะอย่างยิ่ง ก่อนที่จะตกลงจ่ายค่าไถ่ เหยื่อจะได้รับโอกาสทดสอบกระบวนการถอดรหัสในไฟล์สูงสุดห้าไฟล์โดยไม่มีค่าใช้จ่ายใดๆ

บันทึกเรียกค่าไถ่ลงท้ายด้วยคำเตือนเตือนแก่เหยื่อ โดยเฉพาะอย่างยิ่ง ไม่แนะนำให้เปลี่ยนชื่อไฟล์ที่เข้ารหัสหรือพยายามใช้ซอฟต์แวร์ถอดรหัสของบุคคลที่สาม เนื่องจากการกระทำดังกล่าวอาจทำให้ข้อมูลสูญหายอย่างถาวร รายละเอียดเหล่านี้เน้นย้ำถึงกลยุทธ์การบีบบังคับที่ใช้โดย Dxen Ransomware โดยเน้นย้ำถึงความเสี่ยงทางการเงินและการดำเนินงานที่เหยื่อต้องเผชิญซึ่งอาจถูกบังคับให้มีส่วนร่วมกับผู้โจมตีเพื่อเข้าถึงข้อมูลที่เข้ารหัสของพวกเขาอีกครั้ง

Dxen Ransomware ปิดตัวเลือกการกู้คืนหลายตัว

Dxen ซึ่งเป็นส่วนหนึ่งของกลุ่มผลิตภัณฑ์ Phobos Ransomware จะใช้คุณลักษณะร่วมกับโปรแกรมอื่นๆ ภายในกลุ่มนี้ โดยมุ่งเป้าหมายไปที่ไฟล์เข้ารหัสทั้งภายในเครื่องและบนเครือข่ายเป็นหลัก อุปกรณ์ที่ติดไวรัสยังคงใช้งานได้ เนื่องจากไฟล์ระบบที่สำคัญได้รับการละเว้นจากกระบวนการเข้ารหัสโดยเจตนา เพื่อป้องกันข้อยกเว้นเนื่องจากไฟล์ที่พิจารณาว่า 'ใช้งานอยู่' Dxen จะยุติกระบวนการที่เกี่ยวข้องกับไฟล์ที่เปิดอยู่ เช่น โปรแกรมฐานข้อมูลและเครื่องอ่านไฟล์ข้อความ

เพื่อหลีกเลี่ยงการเข้ารหัสไฟล์ที่ถูกบุกรุกก่อนหน้านี้ โปรแกรม Phobos Ransomware จะเก็บรายการประเภทแรนซัมแวร์ไว้ อย่างไรก็ตาม กลยุทธ์นี้ไม่สามารถป้องกันความผิดพลาดได้ เนื่องจากไม่ได้รวมมัลแวร์เข้ารหัสข้อมูลที่มีอยู่ทั้งหมดไว้ด้วย นอกจากนี้ โปรแกรมแรนซัมแวร์เหล่านี้ยังใช้มาตรการเพื่อขจัดความเป็นไปได้ในการกู้คืนไฟล์โดยการล้าง Shadow Volume Copies

มัลแวร์ Phobos รับประกันความคงอยู่ผ่านการจำลองตัวเองไปยังพาธ %LOCALAPPDATA% และการลงทะเบียนด้วยปุ่ม Run เฉพาะ ด้วยเหตุนี้ แรนซัมแวร์จะเริ่มทำงานโดยอัตโนมัติหลังจากการรีบูตระบบแต่ละครั้ง เพื่อให้แน่ใจว่าอุปกรณ์ที่ติดไวรัสจะมีความสอดคล้องกัน

นอกจากนี้ Phobos Ransomware ยังแสดงความสามารถที่เกี่ยวข้องโดยการรวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์ ช่วยให้ผู้โจมตีสามารถประเมินความเป็นไปได้ในการดำเนินการกับการติดเชื้อ แรงจูงใจเบื้องหลังการโจมตีเหล่านี้อาจได้รับอิทธิพลจากปัจจัยทางภูมิรัฐศาสตร์ ความเข้มแข็งทางเศรษฐกิจของภูมิภาค หรือการพิจารณาเชิงกลยุทธ์อื่นๆ โดยเน้นถึงลักษณะที่หลากหลายของภัยคุกคามที่เกิดจากแรนซัมแวร์ภายในตระกูล Phobos

อย่าปฏิบัติตามคำแนะนำที่อาชญากรไซเบอร์ทิ้งไว้

นักวิจัยด้านความปลอดภัยเน้นย้ำว่าการถอดรหัสข้อมูลที่เข้ารหัสโดยภัยคุกคามแรนซัมแวร์นั้นเป็นงานที่ซับซ้อนโดยไม่ต้องมีอาชญากรไซเบอร์เข้ามาเกี่ยวข้อง นอกจากนี้ แม้ว่าเหยื่อจะปฏิบัติตามข้อเรียกร้องค่าไถ่ พวกเขาก็มักจะไม่ได้รับเครื่องมือถอดรหัสที่สัญญาไว้ ด้วยเหตุนี้ ผู้เชี่ยวชาญจึงเตือนอย่างยิ่งว่าอย่าจ่ายค่าไถ่ เนื่องจากไม่เพียงแต่ล้มเหลวในการรับประกันการกู้คืนข้อมูล แต่ยังคงอยู่และสนับสนุนกิจกรรมที่ผิดกฎหมายอีกด้วย

หากต้องการหยุดการเข้ารหัสข้อมูลเพิ่มเติมโดยแรนซัมแวร์ ซอฟต์แวร์ที่ไม่ปลอดภัยจะต้องถูกกำจัดออกจากระบบปฏิบัติการอย่างสมบูรณ์ อย่างไรก็ตาม สิ่งสำคัญคือต้องทราบว่าการลบ ransomware นั้นไม่ได้กู้คืนไฟล์ที่เข้ารหัสโดยอัตโนมัติ ทางออกเดียวที่ใช้ได้คือการกู้คืนไฟล์จากข้อมูลสำรองที่สร้างขึ้นก่อนหน้านี้ โดยมีเงื่อนไขว่ามีอยู่และจัดเก็บไว้ในตำแหน่งที่แยกต่างหาก

เพื่อเพิ่มความปลอดภัยของข้อมูลโดยรวม ผู้เชี่ยวชาญแนะนำให้ใช้แนวทางเชิงรุกโดยการสำรองข้อมูลไว้ในหลาย ๆ ตำแหน่งที่แตกต่างกัน ซึ่งอาจรวมถึงเซิร์ฟเวอร์ระยะไกล อุปกรณ์จัดเก็บข้อมูลแบบถอดปลั๊ก และสื่อที่ปลอดภัยอื่นๆ เพื่อให้มั่นใจว่าการกู้คืนข้อมูลยังคงเป็นตัวเลือกที่เป็นไปได้ในกรณีที่มีการโจมตีแรนซัมแวร์ กลยุทธ์ที่ครอบคลุมนี้ช่วยลดความเสี่ยงที่เกี่ยวข้องกับแรนซัมแวร์ และเน้นย้ำถึงความสำคัญของระบบสำรองข้อมูลที่แข็งแกร่งในการปกป้องข้อมูลอันมีค่า

หมายเหตุค่าไถ่หลักที่ส่งถึงเหยื่อของ Dnex Ransomware คือ:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

ไฟล์ข้อความที่สร้างโดย Dnex Ransomware มีข้อความต่อไปนี้:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

มาแรง

Ldhy Ransomware

Ransomware
จากการตรวจสอบภัยคุกคามมัลแวร์ นักวิจัยได้ค้นพบแรนซัมแวร์ตัวใหม่ชื่อ Ldhy ซอฟต์แวร์คุกคามนี้แสดงความสามารถในการเข้ารหัสไฟล์ประเภทต่างๆ นอกจากนี้ยังเพิ่มนามสกุล '.ldhy'...

Ssj4.io

โปรแกรมที่อาจไม่เป็นที่ต้องการ, Browser Hijackers, Rogue Websites
ในขณะที่ตรวจสอบเว็บไซต์หลอกลวง ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระบุแพ็คเกจการติดตั้งที่เก็บแอปพลิเคชันที่น่าสงสัยซึ่งบังคับให้ผู้ใช้เข้าไปเยี่ยมชม ssj4.io ซึ่งเป็นเครื่องมือค้นหาที่น่าสงสัย...

Jastugoa.top

Rogue Websites, Adware
นักวิจัยพบเว็บไซต์อันธพาล Jatugoa.top ในระหว่างการตรวจสอบแพลตฟอร์มออนไลน์ที่น่าสงสัย เว็บไซต์นี้ส่งเสริมเนื้อหาที่น่าสงสัยและอำนวยความสะดวกในการส่งการแจ้งเตือนเบราว์เซอร์สแปม...

เข้าชมมากที่สุด

Lookmovie.io ปลอดภัยหรือไม่? สกรีนช็อต

Lookmovie.io ปลอดภัยหรือไม่?

Issue
39,884
Lookmovie.io เป็นเว็บไซต์สตรีมมิ่งวิดีโอ ปัญหาคือมีการนำเสนอเนื้อหาสำหรับการสตรีมอย่างผิดกฎหมาย นอกจากนี้ ไซต์ดังกล่าวยังสร้างรายได้จากเครือข่ายโฆษณาอันธพาลอีกด้วย ด้วยเหตุนี้...

'Geek Squad' อีเมลหลอกลวง

Phishing, Spam
34,392
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล เช่น รายละเอียดบัตรเครดิต ที่อยู่อีเมล และแม้แต่หมายเลขประกันสังคม ในบทความนี้ เราจะพูดถึงตัวการหลอกลวง หน้าตาเป็นอย่างไร อีเมลปลอมมาจากไหน ผู้หลอกลวงต้องการอะไร...
กำลังโหลด...