Multi-License Discount Quote
Banta sa Database Ransomware Dxen Ransomware

Dxen Ransomware

Sa pamamagitan ng Mezo sa Ransomware
Isalin To:
Wikang Filipino

Natuklasan kamakailan ng mga mananaliksik ng Infosec ang isang bagong banta sa ransomware na kilala bilang Dxen. Gumagana ang ganitong uri ng malware sa pamamagitan ng pag-encrypt ng mga file sa isang nahawaang device at pagkatapos ay humihingi ng bayad mula sa biktima para sa pag-decryption. Sa matagumpay na pagpasok sa isang device, sinisimulan ng Dxen ang proseso ng pag-encrypt, binabago ang mga pangalan ng mga file na nakaimbak sa system. Kasama sa binagong mga filename ang:

  • Isang natatanging identifier ang itinalaga sa biktima.
  • Ang email address ng mga umaatake.
  • Isang '.dxen' na extension.

Halimbawa, ang isang file na orihinal na pinangalanang '1.jpg' ay maaaring gawing '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Kasunod ng pagkumpleto ng proseso ng pag-encrypt, bumubuo ang Dxen ng mga ransom notes na ipinakita sa mga biktima sa pamamagitan ng pop-up window ('info.hta') at isang text file ('info.txt'). Ang mga file na ito ay madiskarteng inilalagay sa lahat ng naka-encrypt na direktoryo at sa desktop upang matiyak ang kakayahang makita ng apektadong user. Kapansin-pansin, ang Dxen ay nakumpirma bilang isang variant na nagmula sa pamilya ng Phobos Ransomware , na nagpapahiwatig ng koneksyon sa partikular na strain ng nagbabantang software.

Ang Dxen Ransomware ay naglalayong mangikil ng pera mula sa mga biktima nito

Ang text file na nabuo ng Dxen ransomware ay nakikipag-ugnayan sa biktima na ang kanilang data ay sumailalim sa pag-encrypt at hinihimok silang makipag-ugnayan sa mga umaatake upang mapadali ang proseso ng pag-decryption. Bilang karagdagan dito, ang kasamang pop-up window ay nag-aalok ng karagdagang mga detalye tungkol sa impeksyon sa ransomware, na tumutukoy na ang proseso ng pag-decryption ay nangangailangan ng pagbabayad ng isang ransom sa Bitcoin cryptocurrency. Bagama't ang eksaktong halaga ng ransom ay hindi natukoy, ito ay diumano'y nakasalalay sa pagiging maagap kung saan ang biktima ay nagsimulang makipag-ugnayan. Kapansin-pansin, bago gumawa sa pagbabayad ng ransom, ang biktima ay binibigyan ng pagkakataong subukan ang proseso ng pag-decryption sa hanggang limang file nang walang anumang bayad.

Ang ransom note ay nagtatapos sa mga babala sa pag-iingat sa biktima. Sa partikular, nagpapayo ito laban sa pagpapalit ng pangalan sa mga naka-encrypt na file o pagtatangkang gumamit ng software ng third-party na decryption, dahil ang mga naturang aksyon ay maaaring magresulta sa permanenteng pagkawala ng data. Binibigyang-diin ng mga detalyeng ito ang mga mapilit na taktika na ginagamit ng Dxen Ransomware, na binibigyang-diin ang mga panganib sa pananalapi at pagpapatakbo na kinakaharap ng mga biktima na maaaring mapilitan na makipag-ugnayan sa mga umaatake upang mabawi ang access sa kanilang naka-encrypt na data.

Isinasara ng Dxen Ransomware ang Ilang Opsyon sa Pagbawi

Ang Dxen, bilang bahagi ng pamilyang Phobos Ransomware, ay nagbabahagi ng mga katangian sa iba pang mga programa sa loob ng pangkat na ito, pangunahing nagta-target sa parehong lokal at nakabahaging network na mga file para sa pag-encrypt. Kapansin-pansin, ang mga nahawaang device ay nananatiling gumagana, dahil ang mga kritikal na file ng system ay sadyang iniligtas mula sa proseso ng pag-encrypt. Upang maiwasan ang mga pagbubukod dahil sa mga file na itinuturing na 'ginagamit,' tinatapos ng Dxen ang mga prosesong nauugnay sa mga bukas na file, tulad ng mga program sa database at mga text file reader.

Upang maiwasan ang pagdo-double-encrypt na mga file na dati nang nakompromiso, ang mga programa ng Phobos Ransomware ay nagpapanatili ng isang listahan ng mga uri ng ransomware. Gayunpaman, ang diskarteng ito ay hindi palya, dahil hindi ito sumasaklaw sa lahat ng umiiral na malware sa pag-encrypt ng data. Bilang karagdagan, ang mga ransomware program na ito ay nagsasagawa ng mga hakbang upang maalis ang posibilidad ng pagbawi ng file sa pamamagitan ng pagpupunas sa Shadow Volume Copies.

Ang pagtitiyaga ay tinitiyak ng Phobos malware sa pamamagitan ng self-replication sa %LOCALAPPDATA% path at pagpaparehistro gamit ang mga partikular na Run key. Dahil dito, awtomatikong magsisimula ang ransomware pagkatapos ng bawat pag-reboot ng system, na tinitiyak ang pare-parehong presensya sa nahawaang device.

Bukod dito, ang Phobos Ransomware ay nagpapakita ng isang may kinalaman na kakayahan sa pamamagitan ng pangangalap ng data ng geolocation, na nagpapahintulot sa mga umaatake na masuri ang posibilidad na magpatuloy sa impeksyon. Ang motibasyon sa likod ng mga pag-atakeng ito ay maaaring maimpluwensyahan ng mga geopolitical na salik, lakas ng ekonomiya ng rehiyon, o iba pang mga madiskarteng pagsasaalang-alang, na nagbibigay-diin sa maraming aspeto ng banta na dulot ng ransomware sa loob ng pamilyang Phobos.

Huwag Sundin ang Mga Tagubilin na Iniwan ng Mga Cybercriminal

Binibigyang-diin ng mga mananaliksik sa seguridad na ang pag-decryption ng data na naka-encrypt ng mga banta ng ransomware ay karaniwang isang kumplikadong gawain nang walang paglahok ng mga cybercriminal. Higit pa rito, kahit na ang mga biktima ay sumusunod sa mga hinihingi ng ransom, kadalasan ay hindi nila nakukuha ang ipinangakong mga tool sa pag-decryption. Dahil dito, mahigpit na nag-iingat ang mga eksperto laban sa pagbabayad ng mga ransom, dahil hindi lamang nito nabigo ang paggarantiya ng pagbawi ng data ngunit nagpapatuloy at sumusuporta rin sa mga ilegal na aktibidad.

Upang ihinto ang pag-encrypt ng karagdagang data sa pamamagitan ng ransomware, ang hindi ligtas na software ay dapat na ganap na maalis mula sa operating system. Gayunpaman, mahalagang tandaan na ang pag-alis ng ransomware mismo ay hindi awtomatikong nagpapanumbalik ng mga naka-encrypt na file. Ang tanging naaangkop na solusyon ay ang pagbawi ng mga file mula sa isang naunang ginawang backup, sa kondisyon na ito ay umiiral at nakaimbak sa isang hiwalay na lokasyon.

Upang mapahusay ang pangkalahatang kaligtasan ng data, inirerekomenda ng mga eksperto ang paggamit ng isang proactive na diskarte sa pamamagitan ng pagpapanatili ng mga backup sa maramihan at natatanging mga lokasyon. Maaaring kabilang dito ang mga malalayong server, unplugged na storage device, at iba pang secure na medium, na tinitiyak na ang pagbawi ng data ay nananatiling posible na opsyon sa kaganapan ng pag-atake ng ransomware. Ang komprehensibong diskarte na ito ay nakakatulong na mabawasan ang mga panganib na nauugnay sa ransomware at binibigyang-diin ang kahalagahan ng isang matatag na backup system sa pag-iingat ng mahalagang data.

Ang pangunahing ransom note na inihatid sa mga biktima ng Dnex Ransomware ay:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Ang mga text file na nabuo ng Dnex Ransomware ay naglalaman ng sumusunod na mensahe:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Trending

Pinaka Nanood

Naglo-load...