Dxen Fidye Yazılımı
Infosec araştırmacıları yakın zamanda Dxen olarak bilinen yeni bir fidye yazılımı tehdidini ortaya çıkardı. Bu tür kötü amaçlı yazılımlar, virüslü bir cihazdaki dosyaları şifreleyerek ve ardından şifrenin çözülmesi için kurbandan ödeme talep ederek çalışır. Bir cihaza başarıyla sızdıktan sonra Dxen, sistemde depolanan dosyaların adlarını değiştirerek şifreleme işlemini başlatır. Değiştirilen dosya adları şunları içerir:
- Mağdura benzersiz bir tanımlayıcı atanır.
- Saldırganların e-posta adresi.
- Bir '.dxen' uzantısı.
Örneğin, orijinal adı '1.jpg' olan bir dosya '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen'e dönüştürülebilir.
Şifreleme işleminin tamamlanmasının ardından Dxen, bir açılır pencere ('info.hta') ve bir metin dosyası ('info.txt') aracılığıyla kurbanlara sunulan fidye notları oluşturur. Bu dosyalar, etkilenen kullanıcının görünürlüğünü sağlamak için tüm şifrelenmiş dizinlere ve masaüstüne stratejik olarak yerleştirilir. Özellikle Dxen'in Phobos Ransomware ailesinden gelen bir varyant olduğu doğrulandı ve bu da bu özel tehdit yazılımı türüyle bir bağlantı olduğunu gösteriyor.
İçindekiler
Dxen Fidye Yazılımı Kurbanlarından Zorla Para Almak İstiyor
Dxen fidye yazılımı tarafından oluşturulan metin dosyası, kurbana verilerinin şifrelendiğini bildirir ve şifre çözme sürecini kolaylaştırmak için saldırganlarla iletişim kurmasını ister. Buna ek olarak, beraberindeki açılır pencere fidye yazılımı bulaşmasıyla ilgili daha fazla ayrıntı sunuyor ve şifre çözme işleminin Bitcoin kripto para birimi cinsinden fidye ödenmesini gerektirdiğini belirtiyor. Kesin fidye miktarı belirtilmemiş olsa da bunun kurbanın iletişime geçme hızına bağlı olduğu iddia ediliyor. Özellikle, fidye ödemesini taahhüt etmeden önce mağdura, herhangi bir ücret ödemeden beş dosyaya kadar şifre çözme sürecini test etme fırsatı veriliyor.
Fidye notu, kurbana yönelik uyarıcı uyarılarla son buluyor. Özellikle, şifrelenmiş dosyaları yeniden adlandırmamanızı veya üçüncü taraf şifre çözme yazılımlarını kullanmaya çalışmamanızı tavsiye eder; çünkü bu tür eylemler potansiyel olarak kalıcı veri kaybına neden olabilir. Bu ayrıntılar, Dxen Fidye Yazılımı tarafından kullanılan zorlayıcı taktiklerin altını çiziyor ve şifrelenmiş verilerine yeniden erişim kazanmak için saldırganlarla etkileşime geçmek zorunda kalabilecek kurbanların karşı karşıya kaldığı finansal ve operasyonel riskleri vurguluyor.
Dxen Fidye Yazılımı Çeşitli Kurtarma Seçeneklerini Kapatıyor
Phobos Ransomware ailesinin bir parçası olan Dxen, bu gruptaki diğer programlarla aynı özellikleri paylaşıyor ve öncelikle şifreleme için hem yerel hem de ağda paylaşılan dosyaları hedefliyor. Kritik sistem dosyaları kasıtlı olarak şifreleme sürecinden korunduğundan, virüs bulaşmış cihazların çalışır durumda kalması dikkat çekicidir. 'Kullanımda' olduğu düşünülen dosyalardan kaynaklanan istisnaları önlemek için Dxen, veritabanı programları ve metin dosyası okuyucuları gibi açık dosyalarla ilişkili işlemleri sonlandırır.
Phobos Ransomware programları, önceden güvenliği ihlal edilmiş dosyaların çift şifrelemesini önlemek için fidye yazılımı türlerinin bir listesini tutar. Ancak bu strateji, mevcut tüm veri şifreleyen kötü amaçlı yazılımları kapsamadığı için kusursuz değildir. Ayrıca bu fidye yazılımı programları, Gölge Birim Kopyalarını silerek dosya kurtarma olasılığını ortadan kaldıracak önlemler alır.
Kalıcılık, Phobos kötü amaçlı yazılımı tarafından %LOCALAPPDATA% yoluna kendi kendine kopyalama ve belirli Çalıştırma anahtarlarına kayıt yoluyla sağlanır. Sonuç olarak fidye yazılımı, sistemin her yeniden başlatılmasından sonra otomatik olarak başlatılarak, virüslü cihazda tutarlı bir varlık sağlanmasını sağlar.
Üstelik Phobos Ransomware, coğrafi konum verilerini toplayarak, saldırganların enfeksiyona devam etmenin uygulanabilirliğini değerlendirmesine olanak tanıyan endişe verici bir yetenek sergiliyor. Bu saldırıların ardındaki motivasyon jeopolitik faktörlerden, bölgenin ekonomik gücünden veya diğer stratejik değerlendirmelerden etkilenebilir; bu da Phobos ailesi içindeki fidye yazılımının oluşturduğu tehdidin çok yönlü doğasını vurgulamaktadır.
Siber Suçluların Bıraktığı Talimatlara Uymayın
Güvenlik araştırmacıları, fidye yazılımı tehditleri tarafından şifrelenen verilerin şifresinin çözülmesinin, siber suçluların katılımı olmadan genellikle karmaşık bir görev olduğunu vurguluyor. Dahası, kurbanlar fidye taleplerini yerine getirseler bile genellikle vaat edilen şifre çözme araçlarını alamıyorlar. Sonuç olarak uzmanlar, fidye ödemeye karşı şiddetle uyarıyor; zira bu fidye yalnızca veri kurtarmayı garanti etmemekle kalmıyor, aynı zamanda yasa dışı faaliyetleri sürdürüyor ve destekliyor.
Ek verilerin fidye yazılımı tarafından şifrelenmesini durdurmak için güvenli olmayan yazılımın işletim sisteminden tamamen kaldırılması gerekir. Ancak, fidye yazılımının kaldırılmasının şifrelenmiş dosyaları otomatik olarak geri yüklemeyeceğini unutmamak çok önemlidir. Uygulanabilir tek çözüm, önceden oluşturulmuş bir yedekten, mevcut olması ve ayrı bir konumda saklanması koşuluyla dosyaları kurtarmaktır.
Genel veri güvenliğini artırmak için uzmanlar, yedeklemeleri birden çok ve farklı konumda tutarak proaktif bir yaklaşım benimsemenizi öneriyor. Bu, uzak sunucuları, fişi olmayan depolama aygıtlarını ve diğer güvenli ortamları içerebilir; böylece fidye yazılımı saldırısı durumunda veri kurtarmanın uygun bir seçenek olarak kalmasını sağlar. Bu kapsamlı strateji, fidye yazılımıyla ilişkili risklerin azaltılmasına yardımcı oluyor ve değerli verilerin korunmasında güçlü bir yedekleme sisteminin öneminin altını çiziyor.
Dnex Ransomware kurbanlarına gönderilen ana fidye notu:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Dnex Ransomware tarafından oluşturulan metin dosyaları aşağıdaki mesajı içerir:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
