Lexus Ransomware

Ang Ransomware ay isang uri ng nagbabantang software na idinisenyo upang pigilan ang pag-access sa isang computer o data hanggang sa mabayaran ang isang ransom. Ang anyo ng cyberattack na ito ay kadalasang nagsasangkot ng pag-encrypt ng mga file ng biktima, na ginagawang hindi naa-access at humihingi ng ransom para sa kanilang pagpapalaya.

Ang Lexus Ransomware ay isang partikular na banta ng malware na nagla-lock ng data ng mga biktima sa pamamagitan ng pag-encrypt ng malawak na hanay ng mga file, na ginagawang hindi nagagamit at hindi naa-access ang mga ito. Ang pangunahing layunin ng mga cybercriminal sa likod ng Lexus ay mangikil sa mga biktima sa pamamagitan ng paghingi ng ransom payment para sa pagkakataong maibalik ang kanilang mga file. Higit pa sa pag-encrypt, pinapalitan din ng Lexus ang pangalan ng mga file at bumubuo ng dalawang ransom notes, 'info.txt' at 'info.hta'. Natukoy ng mga mananaliksik sa seguridad ang Lexus Ransomware bilang isang variant ng pamilya ng Phobos Ransomware .

Kapag pinapalitan ang pangalan ng mga file, idinaragdag ni Lexus ang ID ng biktima, ang email address na 'emily.florez@zohomail.com', at ang. 'Lexus' extension sa orihinal na mga filename. Halimbawa, ang '1.doc' ay nagiging '1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus', at ang '2.pdf' ay nagiging '2.pdf.id[9ECFA74E. -3506].[emily.florez@zohomail.com].Lexus'.

Hinahangad ng Lexus Ransomware na Mangingikil ng Mga Pagbabayad ng Ransom mula sa mga Biktima

Ang ransom note mula sa Lexus Ransomware ay nagpapaalam sa biktima na ang kanilang data ay na-encrypt at na-exfiltrate ng mga umaatake. Upang mabawi ang access sa kanilang data, ang mga biktima ay dapat kumuha ng partikular na decryption software na ibinigay ng mga cybercriminal. Nagbabala ang tala na ang pagtatangkang i-decrypt ang data nang nakapag-iisa o paggamit ng software ng third-party ay maaaring humantong sa permanenteng pagkawala ng data. Bukod pa rito, ipinangako ng tala na sa pagbabayad, ang data ay tatanggalin at hindi ibebenta o gagamitin sa masama.

Gayunpaman, nagbabanta rin ang tala na kung hindi tumugon ang biktima sa loob ng dalawang araw, ibabahagi ang na-exfiltrate na data sa mga interesadong partido. Nagbibigay ito ng dalawang email address bilang mga channel ng komunikasyon sa mga umaatake (emily.florez@zohomail.com at barbara.li@gmx.com) at nagpapayo laban sa pagpapalit ng pangalan ng anumang naka-encrypt na file.

Ang Pamilya ng Phobos Ransomware ay Madalas Ginagamit ng mga Cybercriminal

Ang ransomware mula sa pamilyang Phobos ay kilalang-kilala sa pag-encrypt ng parehong lokal at nakabahaging network na mga file, hindi pagpapagana ng mga firewall, at pagtanggal ng Shadow Volume Copies. Ang mga variant na ito ay karaniwang kumakalat sa pamamagitan ng hindi secure na mga serbisyo ng Remote Desktop Protocol (RDP).

Upang mapanatili ang kanilang presensya sa nahawaang sistema, ang mga variant ng Phobos Ransomware ay duplicate ang kanilang mga sarili sa mga partikular na direktoryo at magrehistro gamit ang mga itinalagang Run key sa Windows registry. Nangongolekta din sila ng data ng lokasyon at maaaring magbukod ng ilang partikular na lokasyon sa proseso ng pag-encrypt.

Kumuha ng Komprehensibong Diskarte sa Seguridad Laban sa Malware at Ransomware

Upang epektibong mapangalagaan laban sa malware at ransomware, dapat tanggapin ng mga user ang isang komprehensibong diskarte sa seguridad na kinabibilangan ng mga sumusunod na hakbang:

Mga Regular na Backup :

Madalas na Pag-backup: Regular na i-back up ang lahat ng mahalagang data sa mga external na drive o cloud storage. Tiyakin na ang mga backup ay pinananatiling offline o sa isang secure, malayong lokasyon upang maiwasan ang mga ito na makompromiso sa panahon ng isang pag-atake.

Mga Pagpapanumbalik ng Pagsubok: Kung maaari, pana-panahong subukan ang proseso ng pagpapanumbalik upang kumpirmahin na gumagana nang tama ang mga backup at maaaring mabawi ang data.

Up-to-date na Software :

Mga Update sa Operating System: Panatilihing napapanahon ang operating system pati na rin ang anumang naka-install na software sa mga pinakabagong patch.

Mga Awtomatikong Update: Paganahin ang mga awtomatikong pag-update kung posible upang matiyak ang napapanahong aplikasyon ng mga patch ng seguridad.

Malakas na Security Software :

Anti-malware: Mag-install ng mapagkakatiwalaang anti-malware software na nag-aalok ng real-time na proteksyon laban sa mga banta.

Proteksyon ng Firewall: Gumamit ng isang matatag na firewall upang harangan ang hindi awtorisadong pag-access sa iyong network at mga system.

Secure na Configuration :

Paghigpitan ang RDP Access: Huwag paganahin ang Remote Desktop Protocol (RDP) kung hindi kinakailangan, o i-secure ito sa pamamagitan ng paggamit ng malalakas na password, multi-factor authentication (MFA), at paglilimita sa access sa pamamagitan ng virtual private network (VPN).

Prinsipyo ng Pinakamababang Pribilehiyo: Ipatupad ang prinsipyo ng hindi bababa sa pribilehiyo sa pamamagitan ng paglilimita sa mga karapatan sa pag-access ng user sa pinakamababang kinakailangan para sa kanilang tungkulin.

Email at Web Security :

Pag-filter ng Email: Gumamit ng mga solusyon sa pag-filter ng email upang harangan ang mga email sa phishing at mga nakakahamak na attachment.

Pag-filter sa Web: Ipatupad ang pag-filter sa web upang paghigpitan ang pag-access sa mga kilalang nakakahamak na website at maiwasan ang mga drive-by na pag-download.

Edukasyon at Kamalayan ng User :

Mga Programa sa Pagtuturo: Magsagawa ng mga regular na sesyon ng pagsasanay upang turuan ang mga user tungkol sa mga panganib ng malware at ransomware, kabilang ang kung paano kilalanin ang mga pagtatangka sa phishing at maiwasan ang mga hindi ligtas na kasanayan.

Mga Simulated na Pag-atake : Magsagawa ng mga simulate na pag-atake sa phishing upang subukan at pagbutihin ang kamalayan ng user.

Sa pamamagitan ng pagsasama ng mga hakbang na ito sa isang komprehensibong diskarte sa seguridad, ang mga user ay maaaring makabuluhang mapahusay ang kanilang mga depensa laban sa malware at ransomware, na binabawasan ang panganib ng impeksyon at binabawasan ang epekto ng anumang potensyal na pag-atake.

Ang buong teksto ng ransom note na iniwan ng Lexus Ransomware ay:

'Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'