A Dx31 Ransomware egy Phobos-változat
Az új rosszindulatú fájlminták elemzése során a Dx31-et a Phobos családhoz tartozó ransomware-ként azonosítottuk. Aktiváláskor a Dx31 titkosítja az adatokat, megváltoztatja az összes titkosított fájl fájlnevét, és két váltságdíj-jegyzetet mutat be ("info.hta" és "info.txt").
A Dx31 hozzáadja az áldozat azonosítóját, egy e-mail címét és a „.dx31” kiterjesztést a fájlnevekhez. Például átalakítja az "1.jpg"-t "1.jpg.id[9ECFA84E-3449].[dx31@mail.com].dx31"-re, a "2.png"-t pedig "2.png.id[9ECFA84E-"-re. 3449].[dx31@mail.com].dx31".
A váltságdíj-jegyzet a zsarolóprogramok támadásaival kapcsolatos általános mintát követi, és értesíti az áldozatot a fájlok titkosításáról a számítógép állítólagos biztonsági problémája miatt. Az üzenet arra utasítja az áldozatot, hogy vegye fel a kapcsolatot a támadókkal a dx31@mail.com e-mail címen, hangsúlyozva, hogy az e-mail tárgyában egy adott azonosító szerepeljen.
Alternatív megoldásként egy másik e-mail címet (dx31@usa.com) biztosítanak a kapcsolatfelvételhez, ha 24 órán belül nem érkezik válasz. A fájlok visszafejtéséhez Bitcoinban kell fizetni, a váltságdíj összegét nem határozták meg, az áldozat válaszának sebességétől függően.
A hitelesség érdekében a támadók legfeljebb 5 fájl visszafejtését ajánlják fel díjmentesen, a fájlmérettel és -tartalommal kapcsolatos feltételek mellett. A jegyzet útmutatást ad a bitcoinok megszerzéséhez is, és figyelmeztet a titkosított fájlok átnevezésére vagy harmadik féltől származó visszafejtési szolgáltatások használatára, hogy elkerülje a potenciális csalásokat vagy a megnövekedett váltságdíjakat.
Dx31 Ransom Note teljes egészében
A Dx31 váltságdíj teljes szövege a következő:
Minden fájlod titkosítva lett!
A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk a dx31@mail.com e-mail címre
Írja be ezt az azonosítót az üzenet címébe -
Ha 24 órán belül nem érkezik válasz, írjon nekünk erre az e-mail címre: dx31@usa.com
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.
Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 5 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 4 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)
Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.
Mi az a Phobos Ransomware-változatok családja?
A Phobos család a zsarolóvírus-változatok csoportja, amelyek rosszindulatú tevékenységükről ismertek az áldozatok számítógépén lévő fájlok titkosítása és a visszafejtésért váltságdíj követelése terén. Íme a Phobos ransomware család legfontosabb jellemzői:
Fájltitkosítás: Más zsarolóvírus-változatokhoz hasonlóan a Phobos is titkosítja a fájlokat az áldozat rendszerében, így elérhetetlenné teszi őket. Általános fájltípusokat, például dokumentumokat, képeket, videókat és egyebeket céloz meg.
Váltságdíj-jegyzetek: A fájlok titkosítása után Phobos általában váltságdíj-jegyzeteket hagy az áldozat rendszerén. Ezek a megjegyzések tartalmazzák a támadókkal való kapcsolatfelvételre vonatkozó utasításokat, a váltságdíj fizetésének részleteit, és néha tartalmazzák az áldozat egyedi azonosítóját vagy egyéb azonosítóit.
Kommunikációs csatornák: A Phobos gyakran hoz létre kommunikációs csatornákat a váltságdíj-jegyzetekben megadott e-mail címeken. Az áldozatokat arra utasítják, hogy ezeken az e-mail címeken lépjenek kapcsolatba a fizetéssel, és kapjanak utasításokat a fájlok visszafejtésére vonatkozóan.
Változatok és fejlesztések: A Phobos családnak több változata is lehet, vagy idővel új funkciókkal vagy taktikákkal fejlődhet. Ezeknek a változatoknak hasonlóak lehetnek az alapvető funkcióik, de eltérhetnek a titkosítási algoritmusok, a váltságdíj tartalom vagy a terjesztési módszerek tekintetében.
Fizetés kriptovalutában: Mint sok ransomware-törzs, a Phobos is általában kriptovalutában, általában Bitcoinban kér fizetést. Ennek az az oka, hogy a kriptovaluták bizonyos fokú anonimitást biztosítanak a támadók számára a pénzügyi tranzakciók során.
Célzott támadások: A Phobos támadások lehetnek válogatás nélkül, és érinthetnek egyéneket, vállalkozásokat vagy szervezeteket. A támadók különféle terjesztési módszereket, például adathalász e-maileket, kihasználó készleteket vagy szoftveres biztonsági réseket használhatnak a rendszerek megfertőzésére.
Kettős zsarolás: A Phobos egyes verziói, más modern zsarolóvírus-törzsekhez hasonlóan, kettős zsarolási taktikát alkalmaznak. A fájlok titkosítása mellett a támadók érzékeny információk kiszivárogtatásával fenyegethetnek, hacsak nem fizetik ki a váltságdíjat, ami újabb nyomást gyakorol az áldozatokra.