Lexus Ransomware
Програмне забезпечення-вимагач – це різновид загрозливого програмного забезпечення, призначеного для запобігання доступу до комп’ютера чи даних, доки не буде сплачено викуп. Ця форма кібератаки часто передбачає шифрування файлів жертви, що робить їх недоступними та вимагає викуп за їх звільнення.
Програмне забезпечення-вимагач Lexus — це специфічна загроза зловмисного програмного забезпечення, яке блокує дані жертв, шифруючи широкий спектр файлів, роблячи їх непридатними для використання та недоступними. Основна мета кіберзлочинців, які стоять за Lexus, — вимагати від жертв викуп за можливість відновити їхні файли. Крім шифрування, Lexus також перейменовує файли та генерує дві нотатки про викуп: «info.txt» і «info.hta». Дослідники безпеки визначили програму-вимагач Lexus як різновид сімейства програм-вимагачів Phobos .
Під час перейменування файлів Lexus додає ідентифікатор жертви, адресу електронної пошти "emily.florez@zohomail.com" і. Розширення 'Lexus' до оригінальних імен файлів. Наприклад, «1.doc» стає «1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus», а «2.pdf» змінюється на «2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Зміст
Програмне забезпечення-вимагач Lexus намагається вимагати від жертв викуп
Записка про викуп від Lexus Ransomware інформує жертву, що її дані були зашифровані та викрадені зловмисниками. Щоб відновити доступ до своїх даних, жертви повинні отримати спеціальне програмне забезпечення для дешифрування, надане кіберзлочинцями. У примітці попереджається, що спроба розшифрувати дані самостійно або за допомогою стороннього програмного забезпечення може призвести до остаточної втрати даних. Крім того, у примітці обіцяється, що після оплати дані будуть видалені та не будуть продані чи використані неналежним чином.
Однак у записці також загрожує, що якщо жертва не відповість протягом двох днів, викрадені дані будуть передані зацікавленим сторонам. Він надає дві електронні адреси як канали зв’язку зі зловмисниками (emily.florez@zohomail.com і barbara.li@gmx.com) і радить не перейменовувати будь-які зашифровані файли.
Сімейство програм-вимагачів Phobos часто використовується кіберзлочинцями
Програмне забезпечення-вимагач із сімейства Phobos сумно відоме тим, що шифрує як локальні, так і спільні файли в мережі, відключає брандмауери та видаляє тіньові копії томів. Ці варіанти зазвичай поширюються через незахищені служби протоколу віддаленого робочого стола (RDP).
Щоб зберегти свою присутність в зараженій системі, варіанти програм-вимагачів Phobos дублюються в певних каталогах і реєструються за допомогою призначених для цього ключів запуску в реєстрі Windows. Вони також збирають дані про місцезнаходження та можуть виключати певні місця з процесу шифрування.
Застосуйте комплексний підхід до захисту від шкідливих програм і програм-вимагачів
Для ефективного захисту від зловмисного програмного забезпечення та програм-вимагачів користувачі повинні застосувати комплексний підхід до безпеки, який включає такі заходи:
Регулярне резервне копіювання :
Часте резервне копіювання: регулярно створюйте резервні копії всіх важливих даних на зовнішніх дисках або в хмарному сховищі. Переконайтеся, що резервні копії зберігаються в режимі офлайн або в безпечному віддаленому місці, щоб запобігти їх зламанню під час атаки.
Тестування відновлення: якщо можливо, періодично тестуйте процес відновлення, щоб підтвердити, що резервні копії функціонують належним чином і дані можна відновити.
Оновлене програмне забезпечення :
Оновлення операційної системи: оновлюйте операційну систему, а також будь-яке встановлене програмне забезпечення за допомогою останніх виправлень.
Автоматичні оновлення: увімкніть автоматичні оновлення, де це можливо, щоб забезпечити своєчасне застосування виправлень безпеки.
Надійне програмне забезпечення безпеки :
Захист від зловмисного програмного забезпечення: установіть надійне програмне забезпечення для захисту від зловмисного програмного забезпечення, яке пропонує захист від загроз у реальному часі.
Захист брандмауером: використовуйте надійний брандмауер, щоб блокувати несанкціонований доступ до вашої мережі та систем.
Безпечна конфігурація :
Обмежте доступ до RDP: вимкніть протокол віддаленого робочого стола (RDP), якщо він не потрібен, або захистіть його за допомогою надійних паролів, багатофакторної автентифікації (MFA) і обмеження доступу через віртуальну приватну мережу (VPN).
Принцип найменших привілеїв: Виконуйте принцип найменших привілеїв, обмежуючи права доступу користувачів до мінімуму, необхідного для їх ролі.
Безпека електронної пошти та Інтернету :
Фільтрування електронної пошти: використовуйте рішення для фільтрації електронної пошти, щоб блокувати фішингові електронні листи та шкідливі вкладення.
Веб-фільтрація: запровадьте веб-фільтрацію, щоб обмежити доступ до відомих шкідливих веб-сайтів і запобігти випадковим завантаженням.
Навчання та обізнаність користувачів :
Навчальні програми: Проводьте регулярні навчальні сесії, щоб навчити користувачів про небезпеку зловмисного програмного забезпечення та програм-вимагачів, зокрема про те, як розпізнавати спроби фішингу та уникати небезпечних дій.
Симульовані атаки : Виконуйте імітовані фішингові атаки, щоб перевірити та підвищити обізнаність користувачів.
Інтегрувавши ці заходи в комплексну стратегію безпеки, користувачі можуть значно посилити свій захист від зловмисного програмного забезпечення та програм-вимагачів, зменшуючи ризик зараження та вплив будь-яких потенційних атак.
Повний текст записки про викуп, залишеної програмою-вимагачем Lexus:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
