Lexus Ransomware
Ransomware là một loại phần mềm đe dọa được thiết kế để ngăn chặn quyền truy cập vào máy tính hoặc dữ liệu cho đến khi trả tiền chuộc. Hình thức tấn công mạng này thường liên quan đến việc mã hóa các tập tin của nạn nhân, khiến chúng không thể truy cập được và yêu cầu tiền chuộc để giải phóng chúng.
Lexus Ransomware là một mối đe dọa phần mềm độc hại cụ thể nhằm khóa dữ liệu của nạn nhân bằng cách mã hóa nhiều loại tệp, khiến chúng không thể sử dụng được và không thể truy cập được. Mục tiêu chính của tội phạm mạng đằng sau Lexus là tống tiền nạn nhân bằng cách yêu cầu trả tiền chuộc để có cơ hội khôi phục tập tin của họ. Ngoài mã hóa, Lexus còn đổi tên các tệp và tạo hai thông báo đòi tiền chuộc là 'info.txt' và 'info.hta'. Các nhà nghiên cứu bảo mật đã xác định Lexus Ransomware là một biến thể của họ Phobos Ransomware .
Khi đổi tên tệp, Lexus sẽ gắn thêm ID của nạn nhân, địa chỉ email 'emily.florez@zohomail.com' và địa chỉ . Phần mở rộng 'Lexus' cho tên tệp gốc. Ví dụ: '1.doc' trở thành '1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus' và '2.pdf' thay đổi thành '2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.
Mục lục
Phần mềm tống tiền Lexus tìm cách tống tiền nạn nhân
Thông báo đòi tiền chuộc từ Lexus Ransomware thông báo cho nạn nhân rằng dữ liệu của họ đã bị những kẻ tấn công mã hóa và lấy cắp. Để lấy lại quyền truy cập vào dữ liệu của mình, nạn nhân phải có phần mềm giải mã cụ thể do tội phạm mạng cung cấp. Ghi chú cảnh báo rằng việc cố gắng giải mã dữ liệu một cách độc lập hoặc sử dụng phần mềm của bên thứ ba có thể dẫn đến mất dữ liệu vĩnh viễn. Ngoài ra, ghi chú hứa rằng sau khi thanh toán, dữ liệu sẽ bị xóa và sẽ không bị bán hoặc sử dụng vào mục đích xấu.
Tuy nhiên, ghi chú cũng đe dọa rằng nếu nạn nhân không phản hồi trong vòng hai ngày, dữ liệu bị trích xuất sẽ được chia sẻ với các bên quan tâm. Nó cung cấp hai địa chỉ email làm kênh liên lạc với những kẻ tấn công (emily.florez@zohomail.com và barbara.li@gmx.com) và khuyên không nên đổi tên bất kỳ tệp được mã hóa nào.
Nhóm ransomware Phobos thường được tội phạm mạng sử dụng
Ransomware thuộc họ Phobos nổi tiếng với việc mã hóa cả tệp cục bộ và tệp chia sẻ trên mạng, vô hiệu hóa tường lửa và xóa Bản sao khối lượng bóng tối. Các biến thể này thường lây lan qua các dịch vụ Giao thức máy tính từ xa (RDP) không an toàn.
Để duy trì sự hiện diện của chúng trên hệ thống bị nhiễm, các biến thể Phobos Ransomware tự sao chép vào các thư mục cụ thể và đăng ký bằng các phím Run được chỉ định trong sổ đăng ký Windows. Họ cũng thu thập dữ liệu vị trí và có thể loại trừ một số vị trí nhất định khỏi quá trình mã hóa.
Thực hiện phương pháp bảo mật toàn diện chống lại phần mềm độc hại và ransomware
Để bảo vệ hiệu quả khỏi phần mềm độc hại và phần mềm tống tiền, người dùng nên áp dụng phương pháp bảo mật toàn diện bao gồm các biện pháp sau:
Sao lưu thường xuyên :
Sao lưu thường xuyên: Thường xuyên sao lưu tất cả dữ liệu quan trọng vào ổ đĩa ngoài hoặc bộ lưu trữ đám mây. Đảm bảo rằng các bản sao lưu được lưu ngoại tuyến hoặc ở một vị trí từ xa, an toàn để ngăn chúng bị xâm phạm trong một cuộc tấn công.
Kiểm tra quá trình khôi phục: Nếu có thể, hãy kiểm tra định kỳ quá trình khôi phục để xác nhận rằng các bản sao lưu đang hoạt động chính xác và dữ liệu có thể được khôi phục.
Phần mềm cập nhật :
Cập nhật hệ điều hành: Luôn cập nhật hệ điều hành cũng như mọi phần mềm đã cài đặt với các bản vá mới nhất.
Cập nhật tự động: Bật cập nhật tự động nếu có thể để đảm bảo áp dụng kịp thời các bản vá bảo mật.
Phần mềm bảo mật mạnh mẽ :
Chống phần mềm độc hại: Cài đặt phần mềm chống phần mềm độc hại có uy tín cung cấp khả năng bảo vệ theo thời gian thực trước các mối đe dọa.
Bảo vệ tường lửa: Sử dụng tường lửa mạnh mẽ để chặn truy cập trái phép vào mạng và hệ thống của bạn.
Cấu hình an toàn :
Hạn chế quyền truy cập RDP: Vô hiệu hóa Giao thức máy tính từ xa (RDP) nếu không cần thiết hoặc bảo mật nó bằng cách sử dụng mật khẩu mạnh, xác thực đa yếu tố (MFA) và hạn chế quyền truy cập thông qua mạng riêng ảo (VPN).
Nguyên tắc đặc quyền tối thiểu: Thực thi nguyên tắc đặc quyền tối thiểu bằng cách giới hạn quyền truy cập của người dùng ở mức tối thiểu cần thiết cho vai trò của họ.
Bảo mật email và web :
Lọc email: Sử dụng giải pháp lọc email để chặn email lừa đảo và tệp đính kèm độc hại.
Lọc web: Triển khai lọc web để hạn chế quyền truy cập vào các trang web độc hại đã biết và ngăn tải xuống theo từng ổ đĩa.
Giáo dục và nhận thức của người dùng :
Chương trình giáo dục: Tiến hành các buổi đào tạo thường xuyên để giáo dục người dùng về sự nguy hiểm của phần mềm độc hại và phần mềm tống tiền, bao gồm cách nhận biết các nỗ lực lừa đảo và tránh các hành vi không an toàn.
Tấn công mô phỏng : Thực hiện các cuộc tấn công lừa đảo mô phỏng để kiểm tra và nâng cao nhận thức của người dùng.
Bằng cách tích hợp các biện pháp này vào một chiến lược bảo mật toàn diện, người dùng có thể tăng cường đáng kể khả năng phòng vệ của mình trước phần mềm độc hại và phần mềm tống tiền, giảm nguy cơ lây nhiễm và giảm tác động của bất kỳ cuộc tấn công tiềm ẩn nào.
Toàn văn thông báo đòi tiền chuộc của Lexus Ransomware để lại là:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
