Dxen 勒索軟體
Infosec 研究人員最近發現了一種名為 Dxen 的新勒索軟體威脅。此類惡意軟體的運作方式是對受感染裝置上的檔案進行加密,然後要求受害者付費才能解密。成功滲透裝置後,Dxen 會啟動加密流程,變更系統上儲存的檔案的名稱。修改後的檔案名稱包括:
- 為受害者分配一個唯一的識別符。
- 攻擊者的電子郵件地址。
- “.dxen”副檔名。
例如,最初名為「1.jpg」的檔案可能會轉換為「1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen」。
加密過程完成後,Dxen 會產生勒索字條,透過彈出視窗(「info.hta」)和文字檔案(「info.txt」)提交給受害者。這些檔案策略性地放置在所有加密目錄和桌面上,以確保受影響的使用者可見。值得注意的是,Dxen 已被確認為源自Phobos 勒索軟體家族的變種,顯示與這種特定的威脅軟體有聯繫。
目錄
Dxen 勒索軟體試圖向受害者勒索金錢
Dxen 勒索軟體產生的文字檔案向受害者傳達其資料已過加密的訊息,並敦促他們與攻擊者建立聯繫以促進解密過程。除此之外,隨附的彈出視窗還提供了有關勒索軟體感染的更多詳細信息,指定解密過程需要以比特幣加密貨幣支付贖金。雖然確切的贖金金額尚未確定,但據稱這取決於受害者發起聯繫的及時性。值得注意的是,在支付贖金之前,受害者有機會免費測試最多五個檔案的解密過程。
勒索信最後向受害者發出警告。具體來說,它建議不要重命名加密檔案或嘗試使用第三方解密軟體,因為此類操作可能會導致永久資料遺失。這些細節凸顯了 Dxen 勒索軟體採用的脅迫策略,強調受害者可能被迫與攻擊者接觸以重新獲得對其加密資料的存取權所面臨的財務和營運風險。
Dxen 勒索軟體關閉了多個復原選項
Dxen 作為 Phobos 勒索軟體家族的一部分,與該群組中的其他程式具有相同的特徵,主要針對本地和網路共享檔案進行加密。值得注意的是,受感染的設備仍然可以運行,因為關鍵系統檔案被故意從加密過程中排除。為了防止因檔案被視為「正在使用」而導致異常,Dxen 終止與開啟檔案關聯的進程,例如資料庫程式和文字檔案讀取器。
為了避免對先前受感染的文件進行雙重加密,Phobos 勒索軟體程式維護勒索軟體類型清單。然而,這種策略並不是萬無一失的,因為它不包含所有現有的資料加密惡意軟體。此外,這些勒索軟體程式還採取措施透過擦除卷影卷副本來消除檔案復原的可能性。
Phobos 惡意軟體透過自我複製到 %LOCALAPPDATA% 路徑並使用特定的運行金鑰註冊來確保持久性。因此,勒索軟體會在每次系統重新啟動後自動啟動,確保在受感染的裝置上始終存在。
此外,Phobos 勒索軟體透過收集地理位置資料表現出令人擔憂的功能,使攻擊者能夠評估繼續感染的可行性。這些攻擊背後的動機可能受到地緣政治因素、該地區的經濟實力或其他戰略考量的影響,凸顯了 Phobos 系列勒索軟體所構成威脅的多面向。
不要遵循網路犯罪分子留下的指示
安全研究人員強調,在沒有網路犯罪分子參與的情況下,解密勒索軟體威脅加密的資料通常是一項複雜的任務。此外,即使受害者遵守贖金要求,他們通常也無法獲得承諾的解密工具。因此,專家強烈警告不要支付贖金,因為這不僅不能保證資料恢復,而且還會延續和支援非法活動。
要阻止勒索軟體加密其他數據,必須從作業系統中徹底根除不安全的軟體。然而,值得注意的是,刪除勒索軟體本身並不會自動恢復加密檔案。唯一適用的解決方案是從先前建立的備份中還原文件,前提是該備份存在且儲存在單獨的位置。
為了增強整體資料安全性,專家建議採取主動方法,在多個不同位置維護備份。這可以包括遠端伺服器、未插電的儲存設備和其他安全介質,確保在發生勒索軟體攻擊時資料復原仍然是可行的選擇。這種全面的策略有助於降低與勒索軟體相關的風險,並強調強大的備份系統在保護有價值資料方面的重要性。
發送給 Dnex 勒索軟體受害者的主要勒索信是:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
Dnex Ransomware 產生的文字檔案包含以下訊息:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'
