Dx31 Ransomware is een Phobos-variant

Tijdens onze analyse van nieuwe kwaadaardige bestandsvoorbeelden hebben we Dx31 geïdentificeerd als ransomware die tot de Phobos-familie behoort. Bij activering codeert Dx31 de gegevens, wijzigt de bestandsnamen voor alle gecodeerde bestanden en presenteert twee losgeldbriefjes ("info.hta" en "info.txt").

Dx31 voegt de ID van het slachtoffer, een e-mailadres en de extensie ".dx31" toe aan de bestandsnamen. Het transformeert bijvoorbeeld "1.jpg" in "1.jpg.id[9ECFA84E-3449].[dx31@mail.com].dx31", en "2.png" in "2.png.id[9ECFA84E- 3449].[dx31@mail.com].dx31".

De losgeldbrief volgt een veelvoorkomend patroon dat geassocieerd wordt met ransomware-aanvallen, waarbij het slachtoffer op de hoogte wordt gesteld van bestandsversleuteling vanwege een vermeend beveiligingsprobleem met zijn computer. Het bericht instrueert het slachtoffer om contact op te nemen met de aanvallers via e-mail op dx31@mail.com, waarbij de nadruk wordt gelegd op de opname van een specifieke ID in het e-mailonderwerp.

Als alternatief wordt een ander e-mailadres (dx31@usa.com) verstrekt voor contact als er binnen 24 uur geen reactie is. Er wordt gevraagd om betaling in Bitcoins voor het decoderen van bestanden, waarbij het losgeldbedrag niet gespecificeerd blijft, afhankelijk van de snelheid van de reactie van het slachtoffer.

Om de geloofwaardigheid vast te stellen, bieden de aanvallers aan om maximaal vijf bestanden gratis te decoderen, met voorwaarden die verband houden met de bestandsgrootte en inhoud. De notitie biedt ook richtlijnen voor het verkrijgen van Bitcoins en waarschuwt tegen het hernoemen van gecodeerde bestanden of het gebruik van decoderingsdiensten van derden om mogelijke oplichting of hogere losgeldkosten te voorkomen.

Volledige Dx31-losgeldbrief

De volledige tekst van het Dx31-losgeldbriefje luidt als volgt:

Al uw bestanden zijn gecodeerd!
Al uw bestanden zijn gecodeerd vanwege een beveiligingsprobleem met uw pc. Als u ze wilt herstellen, schrijf ons dan naar de e-mail dx31@mail.com
Schrijf deze ID in de titel van uw bericht -
Als u binnen 24 uur geen antwoord krijgt, schrijf ons dan naar deze e-mail:dx31@usa.com
Je moet betalen voor decodering in Bitcoins. De prijs is afhankelijk van hoe snel u ons schrijft. Na betaling sturen wij u de tool waarmee u al uw bestanden kunt decoderen.
Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 5 bestanden gratis laten decoderen. De totale grootte van de bestanden moet kleiner zijn dan 4 MB (niet gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, enz.)
Hoe Bitcoins te verkrijgen
De eenvoudigste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
hxxps://localbitcoins.com/buy_bitcoins
Hier kunt u ook andere plaatsen vinden om Bitcoins en een beginnershandleiding te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Aandacht!
Hernoem versleutelde bestanden niet.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot hogere kosten (zij voegen hun kosten toe aan die van ons) of u kunt het slachtoffer worden van oplichting.

Wat is de Phobos-familie van ransomwarevarianten?

De Phobos-familie is een groep ransomwarevarianten die bekend staan om hun kwaadaardige activiteiten bij het coderen van bestanden op de computers van slachtoffers en het eisen van losgeld voor decodering. Hier zijn de belangrijkste kenmerken van de Phobos-ransomwarefamilie:

Bestandsversleuteling: Net als andere ransomwarevarianten versleutelt Phobos de bestanden op het systeem van het slachtoffer, waardoor ze ontoegankelijk worden. Veelvoorkomende bestandstypen zoals documenten, afbeeldingen, video's en meer zijn het doelwit.

Losgeldbriefjes: Na het versleutelen van de bestanden laat Phobos doorgaans losgeldbriefjes achter op het systeem van het slachtoffer. Deze aantekeningen bevatten instructies over hoe u contact kunt opnemen met de aanvallers, details over de betaling van het losgeld en bevatten soms de unieke ID van het slachtoffer of andere identificatiegegevens.

Communicatiekanalen: Phobos zet vaak communicatiekanalen op via e-mailadressen die vermeld staan in de losgeldbriefjes. Slachtoffers krijgen de opdracht contact op te nemen met deze e-mailadressen om over de betaling te onderhandelen en instructies te ontvangen over hoe ze hun bestanden kunnen decoderen.

Varianten en evoluties: De Phobos-familie kan meerdere varianten hebben of in de loop van de tijd evolueren met nieuwe functies of tactieken. Deze variaties kunnen overeenkomsten vertonen wat betreft hun kernfunctionaliteiten, maar kunnen verschillen wat betreft versleutelingsalgoritmen, de inhoud van losgeldbriefjes of distributiemethoden.

Betaling in cryptovaluta: Net als veel andere soorten ransomware vraagt Phobos doorgaans om betaling in cryptovaluta, meestal Bitcoin. Dit komt omdat cryptocurrencies een zekere mate van anonimiteit bieden voor de aanvallers tijdens financiële transacties.

Gerichte aanvallen: Phobos-aanvallen kunnen willekeurig zijn en individuen, bedrijven of organisaties treffen. De aanvallers kunnen verschillende distributiemethoden gebruiken, zoals phishing-e-mails, exploitkits of kwetsbaarheden in software, om systemen te infecteren.

Dubbele afpersing: Sommige versies van Phobos maken, net als andere moderne ransomware-varianten, gebruik van dubbele afpersingstactieken. Naast het versleutelen van bestanden kunnen aanvallers dreigen gevoelige informatie te lekken tenzij het losgeld wordt betaald, waardoor de druk op de slachtoffers nog verder wordt vergroot.