Dxen 勒索软件
Infosec 研究人员最近发现了一种名为 Dxen 的新勒索软件威胁。此类恶意软件的运行方式是对受感染设备上的文件进行加密,然后要求受害者付费才能解密。成功渗透设备后,Dxen 会启动加密过程,更改系统上存储的文件的名称。修改后的文件名包括:
- 为受害者分配一个唯一的标识符。
- 攻击者的电子邮件地址。
- “.dxen”扩展名。
例如,最初名为“1.jpg”的文件可能会转换为“1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen”。
加密过程完成后,Dxen 会生成勒索字条,通过弹出窗口(“info.hta”)和文本文件(“info.txt”)提交给受害者。这些文件战略性地放置在所有加密目录和桌面上,以确保受影响的用户可见。值得注意的是,Dxen 已被确认为源自Phobos 勒索软件家族的变种,表明与这种特定的威胁软件有联系。
目录
Dxen 勒索软件试图向受害者勒索金钱
Dxen 勒索软件生成的文本文件向受害者传达其数据已经过加密的信息,并敦促他们与攻击者建立联系以促进解密过程。除此之外,随附的弹出窗口提供了有关勒索软件感染的更多详细信息,指定解密过程需要以比特币加密货币支付赎金。虽然确切的赎金金额尚未确定,但据称这取决于受害者发起联系的及时性。值得注意的是,在支付赎金之前,受害者有机会免费测试最多五个文件的解密过程。
勒索信最后向受害者发出警告。具体来说,它建议不要重命名加密文件或尝试使用第三方解密软件,因为此类操作可能会导致永久数据丢失。这些细节凸显了 Dxen 勒索软件采用的胁迫策略,强调受害者可能被迫与攻击者接触以重新获得对其加密数据的访问权限所面临的财务和运营风险。
Dxen 勒索软件关闭了多个恢复选项
Dxen 作为 Phobos 勒索软件家族的一部分,与该组中的其他程序具有相同的特征,主要针对本地和网络共享文件进行加密。值得注意的是,受感染的设备仍然可以运行,因为关键系统文件被故意从加密过程中排除。为了防止由于文件被视为“正在使用”而导致异常,Dxen 终止与打开文件关联的进程,例如数据库程序和文本文件读取器。
为了避免对先前受感染的文件进行双重加密,Phobos 勒索软件程序维护勒索软件类型列表。然而,这种策略并不是万无一失的,因为它并不涵盖所有现有的数据加密恶意软件。此外,这些勒索软件程序还采取措施通过擦除卷影卷副本来消除文件恢复的可能性。
Phobos 恶意软件通过自我复制到 %LOCALAPPDATA% 路径并使用特定的运行密钥注册来确保持久性。因此,勒索软件会在每次系统重新启动后自动启动,确保在受感染的设备上始终存在。
此外,Phobos 勒索软件通过收集地理位置数据表现出令人担忧的功能,使攻击者能够评估继续感染的可行性。这些攻击背后的动机可能受到地缘政治因素、该地区的经济实力或其他战略考虑因素的影响,凸显了 Phobos 系列勒索软件所构成威胁的多方面性。
不要遵循网络犯罪分子留下的指示
安全研究人员强调,在没有网络犯罪分子参与的情况下,解密勒索软件威胁加密的数据通常是一项复杂的任务。此外,即使受害者遵守赎金要求,他们通常也无法获得承诺的解密工具。因此,专家强烈警告不要支付赎金,因为这不仅不能保证数据恢复,而且还会延续和支持非法活动。
要阻止勒索软件加密其他数据,必须从操作系统中彻底根除不安全的软件。然而,值得注意的是,删除勒索软件本身并不会自动恢复加密文件。唯一适用的解决方案是从以前创建的备份中恢复文件,前提是该备份存在且存储在单独的位置。
为了增强整体数据安全性,专家建议采取主动方法,在多个不同位置维护备份。这可以包括远程服务器、未插电的存储设备和其他安全介质,确保在发生勒索软件攻击时数据恢复仍然是一个可行的选择。这种全面的策略有助于降低与勒索软件相关的风险,并强调强大的备份系统在保护有价值数据方面的重要性。
发送给 Dnex 勒索软件受害者的主要勒索信是:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Dnex Ransomware 生成的文本文件包含以下消息:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
