Dx31 Ransomware er en Phobos-variant

Under vår analyse av nye ondsinnede filprøver identifiserte vi Dx31 som løsepengevare tilhørende Phobos-familien. Ved aktivering krypterer Dx31 data, endrer filnavn for alle krypterte filer og presenterer to løsepenger ("info.hta" og "info.txt").

Dx31 legger til offerets ID, en e-postadresse og utvidelsen ".dx31" til filnavn. For eksempel transformerer den "1.jpg" til "1.jpg.id[9ECFA84E-3449].[dx31@mail.com].dx31", og "2.png" til "2.png.id[9ECFA84E- 3449].[dx31@mail.com].dx31".

Løsepengene følger et vanlig mønster assosiert med løsepengevare-angrep, og varsler offeret om filkryptering på grunn av et påstått sikkerhetsproblem med datamaskinen deres. Meldingen instruerer offeret om å kontakte angriperne via e-post på dx31@mail.com, og understreker inkluderingen av en spesifikk ID i e-postemnet.

Alternativt oppgis en annen e-postadresse (dx31@usa.com) for kontakt hvis det ikke er noe svar innen 24 timer. Kravet om betaling i Bitcoins for fildekryptering er tilstede, med løsepengebeløpet uspesifisert, avhengig av hastigheten på offerets respons.

For å etablere troverdighet tilbyr angriperne å dekryptere opptil 5 filer uten kostnad, med betingelser knyttet til filstørrelse og innhold. Notatet gir også veiledning om å skaffe Bitcoins og advarer mot å gi nytt navn til krypterte filer eller bruke tredjeparts dekrypteringstjenester for å unngå potensielle svindel eller økte løsepenger.

Dx31 løsepengenotat i sin helhet

Den fullstendige teksten til Dx31 løsepengenotatet lyder som følger:

Alle filene dine er kryptert!
Alle filene dine er kryptert på grunn av et sikkerhetsproblem med PC-en din. Hvis du vil gjenopprette dem, skriv til oss på e-posten dx31@mail.com
Skriv denne ID-en i tittelen på meldingen -
Hvis du ikke får svar innen 24 timer, skriv til denne e-posten:dx31@usa.com
Du må betale for dekryptering i Bitcoins. Prisen avhenger av hvor raskt du skriver til oss. Etter betaling vil vi sende deg verktøyet som vil dekryptere alle filene dine.
Gratis dekryptering som garanti
Før du betaler kan du sende oss opptil 5 filer for gratis dekryptering. Den totale størrelsen på filene må være mindre enn 4 Mb (ikke arkivert), og filene skal ikke inneholde verdifull informasjon. (databaser, sikkerhetskopier, store excel-ark, etc.)
Hvordan få tak i Bitcoins
Den enkleste måten å kjøpe bitcoins på er LocalBitcoins-siden. Du må registrere deg, klikke 'Kjøp bitcoins' og velge selger etter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finne andre steder å kjøpe Bitcoins og nybegynnerguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.

Hva er Phobos-familien av ransomware-varianter?

Phobos-familien er en gruppe løsepengevarevarianter kjent for sine ondsinnede aktiviteter i å kryptere filer på ofrenes datamaskiner og kreve løsepenger for dekryptering. Her er de viktigste egenskapene til Phobos løsepengevarefamilien:

Filkryptering: Som andre løsepengevarevarianter, krypterer Phobos filene på et offers system, noe som gjør dem utilgjengelige. Vanlige filtyper som dokumenter, bilder, videoer og mer er målrettet.

Løsepengernotater: Etter å ha kryptert filene, legger Phobos vanligvis løsepenger på offerets system. Disse notatene inneholder instruksjoner om hvordan du kontakter angriperne, detaljer om løsepengerbetalingen, og inkluderer noen ganger offerets unike ID eller andre identifikatorer.

Kommunikasjonskanaler: Phobos etablerer ofte kommunikasjonskanaler gjennom e-postadresser oppgitt i løsepengene. Ofre blir bedt om å kontakte disse e-postadressene for å forhandle om betaling og motta instruksjoner om hvordan de kan dekryptere filene sine.

Varianter og evolusjoner: Phobos-familien kan ha flere varianter eller utvikle seg over tid med nye funksjoner eller taktikker. Disse variasjonene kan ha likheter i kjernefunksjonene, men kan variere når det gjelder krypteringsalgoritmer, innhold av løsepenger eller distribusjonsmetoder.

Betaling i kryptovaluta: Som mange løsepengevare-stammer, krever Phobos vanligvis betaling i kryptovaluta, vanligvis Bitcoin. Dette er fordi kryptovalutaer gir en viss grad av anonymitet for angriperne under økonomiske transaksjoner.

Målrettede angrep: Phobos-angrep kan være vilkårlige og påvirke enkeltpersoner, bedrifter eller organisasjoner. Angriperne kan bruke ulike distribusjonsmetoder, for eksempel phishing-e-poster, utnyttelsessett eller sårbarheter i programvare, for å infisere systemer.

Dobbel utpressing: Noen versjoner av Phobos, som andre moderne løsepengevarestammer, engasjerer seg i dobbel utpressingstaktikk. I tillegg til å kryptere filer, kan angripere true med å lekke sensitiv informasjon med mindre løsepenger betales, og legge til et nytt lag med press på ofrene.