Dxen Ransomware
Дослідники Infosec нещодавно виявили нову загрозу програмного забезпечення-вимагача, відому як Dxen. Цей тип зловмисного програмного забезпечення працює шляхом шифрування файлів на зараженому пристрої, а потім вимагає від жертви оплати за розшифровку. Після успішного проникнення на пристрій Dxen починає процес шифрування, змінюючи назви файлів, що зберігаються в системі. Змінені назви файлів включають:
- Жертві присвоюється унікальний ідентифікатор.
- Адреса електронної пошти зловмисників.
- Розширення «.dxen».
Наприклад, файл із початковою назвою «1.jpg» можна перетворити на «1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'
Після завершення процесу шифрування Dxen створює повідомлення про викуп, які надаються жертвам у спливаючому вікні ("info.hta") і текстовому файлі ("info.txt"). Ці файли стратегічно розміщуються у всіх зашифрованих каталогах і на робочому столі, щоб забезпечити видимість для постраждалого користувача. Примітно, що Dxen було підтверджено як варіант, що походить із сімейства Phobos Ransomware , що вказує на зв’язок із цим конкретним типом загрозливого програмного забезпечення.
Зміст
Програма-вимагач Dxen прагне виманити гроші у своїх жертв
Текстовий файл, створений програмою-вимагачем Dxen, повідомляє жертві, що її дані пройшли шифрування, і закликає її встановити контакт із зловмисниками, щоб полегшити процес дешифрування. На додаток до цього, супровідне спливаюче вікно пропонує додаткові відомості про зараження програмою-вимагачем, уточнюючи, що процес дешифрування вимагає сплати викупу в криптовалюті Bitcoin. Хоча точна сума викупу не визначена, вона нібито залежить від швидкості, з якою жертва вступить у контакт. Примітно, що перед тим, як сплатити викуп, жертві надається можливість протестувати процес розшифровки до п’яти файлів безкоштовно.
Записка про викуп завершується застереженнями для жертви. Зокрема, він радить не перейменовувати зашифровані файли або намагатися використовувати стороннє програмне забезпечення для дешифрування, оскільки такі дії потенційно можуть призвести до остаточної втрати даних. Ці деталі підкреслюють тактику примусу, яку використовує Dxen Ransomware, наголошуючи на фінансових і операційних ризиках, з якими стикаються жертви, які можуть бути змушені взаємодіяти зі зловмисниками, щоб відновити доступ до їхніх зашифрованих даних.
Програма-вимагач Dxen вимикає кілька варіантів відновлення
Dxen, як частина сімейства Phobos Ransomware, має спільні характеристики з іншими програмами в цій групі, головним чином націлюючись на шифрування як локальних, так і мережевих файлів. Примітно, що інфіковані пристрої залишаються працездатними, оскільки критичні системні файли навмисно звільняються від процесу шифрування. Щоб запобігти виняткам через файли, які вважаються «використовуваними», Dxen завершує процеси, пов’язані з відкритими файлами, наприклад, програми баз даних і читачі текстових файлів.
Щоб уникнути подвійного шифрування раніше зламаних файлів, програми Phobos Ransomware підтримують список типів програм-вимагачів. Однак ця стратегія не є надійною, оскільки вона не охоплює всі існуючі шкідливі програми для шифрування даних. Крім того, ці програми-вимагачі вживають заходів, щоб усунути можливість відновлення файлів шляхом видалення тіньових копій томів.
Стійкість забезпечується зловмисним програмним забезпеченням Phobos шляхом самовідтворення до шляху %LOCALAPPDATA% і реєстрації за допомогою певних ключів запуску. Отже, програма-вимагач автоматично запускається після кожного перезавантаження системи, забезпечуючи постійну присутність на зараженому пристрої.
Крім того, програмне забезпечення-вимагач Phobos демонструє тривожні можливості, збираючи дані про геолокацію, що дозволяє зловмисникам оцінити життєздатність продовження зараження. На мотивацію цих атак можуть впливати геополітичні чинники, економічна потужність регіону чи інші стратегічні міркування, що підкреслює багатогранність загрози, створеної програмами-вимагачами в родині Фобос.
Не дотримуйтесь інструкцій, залишених кіберзлочинцями
Дослідники безпеки підкреслюють, що розшифровка даних, зашифрованих програмами-вимагачами, зазвичай є складним завданням без залучення кіберзлочинців. Крім того, навіть якщо жертви виконують вимоги щодо викупу, вони часто не отримують обіцяних інструментів дешифрування. Отже, експерти рішуче застерігають від сплати викупу, оскільки це не тільки не гарантує відновлення даних, але й увічнює та підтримує незаконну діяльність.
Щоб зупинити шифрування додаткових даних за допомогою програми-вимагача, небезпечне програмне забезпечення має бути повністю видалено з операційної системи. Однак важливо зазначити, що само видалення програми-вимагача не призводить до автоматичного відновлення зашифрованих файлів. Єдиним застосовним рішенням є відновлення файлів із попередньо створеної резервної копії, якщо вона існує та зберігається в окремому місці.
Щоб підвищити загальну безпеку даних, експерти рекомендують застосувати проактивний підхід, зберігаючи резервні копії в кількох різних місцях. Це може включати віддалені сервери, відключені пристрої зберігання та інші захищені носії, що гарантує, що відновлення даних залишається можливим варіантом у разі атаки програм-вимагачів. Ця комплексна стратегія допомагає зменшити ризики, пов’язані з програмами-вимагачами, і підкреслює важливість надійної системи резервного копіювання для захисту цінних даних.
Основне повідомлення про викуп, яке надається жертвам Dnex Ransomware:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Текстові файли, створені Dnex Ransomware, містять таке повідомлення:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
