Dx31 Ransomware è una variante di Phobos

Durante la nostra analisi di nuovi campioni di file dannosi, abbiamo identificato Dx31 come ransomware appartenente alla famiglia Phobos. Dopo l'attivazione, Dx31 crittografa i dati, modifica i nomi dei file per tutti i file crittografati e presenta due richieste di riscatto ("info.hta" e "info.txt").

Dx31 aggiunge l'ID della vittima, un indirizzo email e l'estensione ".dx31" ai nomi dei file. Ad esempio, trasforma "1.jpg" in "1.jpg.id[9ECFA84E-3449].[dx31@mail.com].dx31" e "2.png" in "2.png.id[9ECFA84E- 3449].[dx31@mail.com].dx31".

La richiesta di riscatto segue uno schema comune associato agli attacchi ransomware, avvisando la vittima della crittografia dei file a causa di un presunto problema di sicurezza del proprio computer. Il messaggio chiede alla vittima di contattare gli aggressori via email all'indirizzo dx31@mail.com, sottolineando l'inclusione di un ID specifico nell'oggetto dell'email.

In alternativa, viene fornito un altro indirizzo email (dx31@usa.com) per il contatto se non si riceve risposta entro 24 ore. È presente la richiesta di pagamento in Bitcoin per la decrittazione dei file, con l'importo del riscatto lasciato non specificato, a seconda della velocità della risposta della vittima.

Per stabilire credibilità, gli aggressori offrono di decrittografare fino a 5 file senza alcun costo, con condizioni relative alla dimensione e al contenuto del file. La nota fornisce inoltre indicazioni su come ottenere Bitcoin e avvertenze contro la ridenominazione di file crittografati o l'utilizzo di servizi di decrittazione di terze parti per evitare potenziali truffe o aumenti delle tariffe di riscatto.

Nota di riscatto Dx31 completa

Il testo completo della richiesta di riscatto Dx31 recita come segue:

Tutti i tuoi file sono stati crittografati!
Tutti i tuoi file sono stati crittografati a causa di un problema di sicurezza con il tuo PC. Se desideri ripristinarli, scrivici all'e-mail dx31@mail.com
Scrivi questo ID nel titolo del tuo messaggio -
In caso di mancata risposta entro 24 ore scriveteci a questa e-mail:dx31@usa.com
Devi pagare per la decrittazione in Bitcoin. Il prezzo dipende dalla velocità con cui ci scrivi. Dopo il pagamento ti invieremo lo strumento che decodificherà tutti i tuoi file.
Decrittazione gratuita come garanzia
Prima di pagare puoi inviarci fino a 5 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 4 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli Excel di grandi dimensioni, ecc.)
Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore in base al metodo di pagamento e al prezzo.
hxxps://localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti potrebbe causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o potresti diventare vittima di una truffa.

Qual è la famiglia di varianti del ransomware Phobos?

La famiglia Phobos è un gruppo di varianti di ransomware note per le loro attività dannose nella crittografia dei file sui computer delle vittime e nella richiesta di un riscatto per la decrittazione. Ecco le caratteristiche principali della famiglia di ransomware Phobos:

Crittografia dei file: come altre varianti di ransomware, Phobos crittografa i file sul sistema di una vittima, rendendoli inaccessibili. Vengono presi di mira tipi di file comuni come documenti, immagini, video e altro.

Richieste di riscatto: dopo aver crittografato i file, Phobos in genere lascia delle richieste di riscatto sul sistema della vittima. Queste note contengono istruzioni su come contattare gli aggressori, dettagli sul pagamento del riscatto e talvolta includono l'ID univoco della vittima o altri identificatori.

Canali di comunicazione: Phobos spesso stabilisce canali di comunicazione tramite indirizzi e-mail forniti nelle richieste di riscatto. Alle vittime viene chiesto di contattare questi indirizzi e-mail per negoziare il pagamento e ricevere istruzioni su come decrittografare i propri file.

Varianti ed evoluzioni: la famiglia Phobos può avere più varianti o evolversi nel tempo con nuove funzionalità o tattiche. Queste variazioni possono avere somiglianze nelle funzionalità principali ma potrebbero differire in termini di algoritmi di crittografia, contenuto della richiesta di riscatto o metodi di distribuzione.

Pagamento in criptovaluta: come molti ceppi di ransomware, Phobos in genere richiede il pagamento in criptovaluta, comunemente Bitcoin. Questo perché le criptovalute forniscono un certo grado di anonimato agli aggressori durante le transazioni finanziarie.

Attacchi mirati: gli attacchi Phobos possono essere indiscriminati e colpire individui, aziende o organizzazioni. Gli aggressori possono utilizzare diversi metodi di distribuzione, come e-mail di phishing, kit di exploit o vulnerabilità nel software, per infettare i sistemi.

Doppia estorsione: alcune versioni di Phobos, come altri ceppi di ransomware moderni, adottano tattiche di doppia estorsione. Oltre a crittografare i file, gli aggressori possono minacciare di divulgare informazioni sensibili a meno che non venga pagato il riscatto, aggiungendo un ulteriore livello di pressione sulle vittime.