Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Ransomware Phần mềm tống tiền Dxen

Phần mềm tống tiền Dxen

Đến năm Mezo năm Ransomware
Dịch sang:
Tiếng Việt Nam

Các nhà nghiên cứu của Infosec gần đây đã phát hiện ra một mối đe dọa ransomware mới được gọi là Dxen. Loại phần mềm độc hại này hoạt động bằng cách mã hóa các tệp trên thiết bị bị nhiễm và sau đó yêu cầu nạn nhân thanh toán để giải mã. Sau khi xâm nhập thành công vào thiết bị, Dxen sẽ bắt đầu quá trình mã hóa, thay đổi tên của các tệp được lưu trữ trên hệ thống. Tên tập tin được sửa đổi bao gồm:

  • Một mã định danh duy nhất được gán cho nạn nhân.
  • Địa chỉ email của những kẻ tấn công.
  • Phần mở rộng '.dxen'.

Ví dụ: tệp có tên ban đầu là '1.jpg' có thể được chuyển đổi thành '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Sau khi hoàn tất quá trình mã hóa, Dxen tạo thông báo đòi tiền chuộc cho nạn nhân thông qua cửa sổ bật lên ('info.hta') và tệp văn bản ('info.txt'). Các tệp này được đặt một cách chiến lược trong tất cả các thư mục được mã hóa và trên màn hình để đảm bảo khả năng hiển thị cho người dùng bị ảnh hưởng. Đáng chú ý, Dxen đã được xác nhận là một biến thể có nguồn gốc từ họ Phobos Ransomware , cho thấy có mối liên hệ với loại phần mềm đe dọa đặc biệt này.

Ransomware Dxen tìm cách tống tiền nạn nhân

Tệp văn bản do Dxen ransomware tạo ra sẽ thông báo cho nạn nhân rằng dữ liệu của họ đã được mã hóa và kêu gọi họ thiết lập liên hệ với những kẻ tấn công để tạo điều kiện thuận lợi cho quá trình giải mã. Ngoài ra, cửa sổ bật lên đi kèm còn cung cấp thêm thông tin chi tiết về việc lây nhiễm ransomware, chỉ rõ rằng quá trình giải mã yêu cầu thanh toán tiền chuộc bằng tiền điện tử Bitcoin. Mặc dù số tiền chuộc chính xác vẫn chưa được xác định nhưng nó chủ yếu phụ thuộc vào tốc độ liên hệ của nạn nhân. Đáng chú ý, trước khi cam kết trả tiền chuộc, nạn nhân có cơ hội thử nghiệm quá trình giải mã trên tối đa năm tệp mà không phải trả bất kỳ khoản phí nào.

Thông báo đòi tiền chuộc kết thúc bằng những cảnh báo cảnh báo cho nạn nhân. Cụ thể, họ khuyên không nên đổi tên các tệp được mã hóa hoặc cố gắng sử dụng phần mềm giải mã của bên thứ ba, vì những hành động như vậy có thể dẫn đến mất dữ liệu vĩnh viễn. Những chi tiết này nhấn mạnh các chiến thuật cưỡng chế được Dxen Ransomware sử dụng, nhấn mạnh những rủi ro tài chính và hoạt động mà nạn nhân phải đối mặt, những người có thể bị buộc phải giao chiến với những kẻ tấn công để lấy lại quyền truy cập vào dữ liệu được mã hóa của họ.

Ransomware Dxen tắt một số tùy chọn khôi phục

Dxen, là một phần của dòng Phobos Ransomware, có chung đặc điểm với các chương trình khác trong nhóm này, chủ yếu nhắm mục tiêu vào cả tệp cục bộ và tệp chia sẻ trên mạng để mã hóa. Đáng chú ý, các thiết bị bị nhiễm vẫn hoạt động vì các tệp hệ thống quan trọng được cố tình tránh khỏi quá trình mã hóa. Để ngăn chặn các trường hợp ngoại lệ do các tệp được coi là 'đang được sử dụng', Dxen chấm dứt các quá trình liên quan đến các tệp đang mở, chẳng hạn như các chương trình cơ sở dữ liệu và trình đọc tệp văn bản.

Để tránh mã hóa kép các tệp bị xâm nhập trước đó, các chương trình Ransomware Phobos duy trì một danh sách các loại ransomware. Tuy nhiên, chiến lược này không hoàn hảo vì nó không bao gồm tất cả phần mềm độc hại mã hóa dữ liệu hiện có. Ngoài ra, các chương trình ransomware này thực hiện các biện pháp để loại bỏ khả năng khôi phục tệp bằng cách xóa Bản sao ổ đĩa bóng.

Sự tồn tại được đảm bảo bởi phần mềm độc hại Phobos thông qua việc tự sao chép vào đường dẫn %LOCALAPPDATA% và đăng ký bằng các phím Run cụ thể. Do đó, ransomware tự động khởi động sau mỗi lần khởi động lại hệ thống, đảm bảo sự hiện diện nhất quán trên thiết bị bị nhiễm.

Hơn nữa, Phobos Ransomware thể hiện khả năng đáng lo ngại bằng cách thu thập dữ liệu định vị địa lý, cho phép kẻ tấn công đánh giá khả năng tồn tại của quá trình lây nhiễm. Động lực đằng sau các cuộc tấn công này có thể bị ảnh hưởng bởi các yếu tố địa chính trị, sức mạnh kinh tế của khu vực hoặc các cân nhắc chiến lược khác, làm nổi bật tính chất nhiều mặt của mối đe dọa do ransomware gây ra trong họ Phobos.

Đừng làm theo hướng dẫn của tội phạm mạng

Các nhà nghiên cứu bảo mật nhấn mạnh rằng việc giải mã dữ liệu được mã hóa bởi các mối đe dọa ransomware thường là một nhiệm vụ phức tạp mà không có sự tham gia của tội phạm mạng. Hơn nữa, ngay cả khi nạn nhân tuân thủ yêu cầu tiền chuộc, họ thường không nhận được các công cụ giải mã như đã hứa. Do đó, các chuyên gia hết sức thận trọng với việc trả tiền chuộc, vì nó không những không đảm bảo việc phục hồi dữ liệu mà còn duy trì và hỗ trợ các hoạt động bất hợp pháp.

Để ngăn chặn việc mã hóa dữ liệu bổ sung bằng ransomware, phần mềm không an toàn phải bị xóa hoàn toàn khỏi hệ điều hành. Tuy nhiên, điều quan trọng cần lưu ý là bản thân việc loại bỏ ransomware không tự động khôi phục các tệp bị mã hóa. Giải pháp áp dụng duy nhất là khôi phục các tệp từ bản sao lưu đã tạo trước đó, miễn là nó tồn tại và được lưu trữ ở một vị trí riêng biệt.

Để nâng cao mức độ an toàn dữ liệu tổng thể, các chuyên gia khuyên bạn nên áp dụng phương pháp chủ động bằng cách duy trì các bản sao lưu ở nhiều vị trí riêng biệt. Điều này có thể bao gồm các máy chủ từ xa, thiết bị lưu trữ đã rút phích cắm và các phương tiện bảo mật khác, đảm bảo rằng việc khôi phục dữ liệu vẫn là một lựa chọn khả thi trong trường hợp bị tấn công bằng ransomware. Chiến lược toàn diện này giúp giảm thiểu rủi ro liên quan đến phần mềm tống tiền và nhấn mạnh tầm quan trọng của hệ thống sao lưu mạnh mẽ trong việc bảo vệ dữ liệu có giá trị.

Thông báo đòi tiền chuộc chính được gửi tới nạn nhân của Dnex Ransomware là:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Các tệp văn bản do Dnex Ransomware tạo ra chứa thông báo sau:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
34,392
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...