Ransomware Dx31 jest odmianą Phobosa

Podczas naszej analizy nowych próbek złośliwych plików zidentyfikowaliśmy Dx31 jako oprogramowanie ransomware należące do rodziny Phobos. Po aktywacji Dx31 szyfruje dane, zmienia nazwy wszystkich zaszyfrowanych plików i przedstawia dwie notatki z żądaniem okupu („info.hta” i „info.txt”).

Dx31 dodaje do nazw plików identyfikator ofiary, adres e-mail i rozszerzenie „.dx31”. Na przykład przekształca „1.jpg” w „1.jpg.id[9ECFA84E-3449].[dx31@mail.com].dx31”, a „2.png” w „2.png.id[9ECFA84E- 3449].[dx31@mail.com].dx31".

Żądanie okupu opiera się na typowym schemacie związanym z atakami oprogramowania ransomware i powiadamia ofiarę o zaszyfrowaniu pliku z powodu rzekomego problemu z bezpieczeństwem jej komputera. Wiadomość instruuje ofiarę, aby skontaktowała się z atakującymi za pośrednictwem poczty elektronicznej na adres dx31@mail.com, podkreślając podanie konkretnego identyfikatora w temacie wiadomości.

Alternatywnie można podać inny adres e-mail (dx31@usa.com) do kontaktu w przypadku braku odpowiedzi w ciągu 24 godzin. Występuje żądanie zapłaty w Bitcoinach za odszyfrowanie plików, a kwota okupu pozostaje nieokreślona, zależna od szybkości reakcji ofiary.

Aby zapewnić wiarygodność, osoby atakujące oferują bezpłatne odszyfrowanie do 5 plików, pod warunkiem związanym z rozmiarem pliku i zawartością. Notatka zawiera również wskazówki dotyczące uzyskiwania Bitcoinów i ostrzega przed zmianą nazw zaszyfrowanych plików lub korzystaniem z usług odszyfrowywania stron trzecich, aby uniknąć potencjalnych oszustw lub zwiększonych opłat okupu.

Pełna treść żądania okupu Dx31

Pełny tekst żądania okupu Dx31 brzmi następująco:

Wszystkie Twoje pliki zostały zaszyfrowane!
Wszystkie Twoje pliki zostały zaszyfrowane ze względu na problem z bezpieczeństwem Twojego komputera. Jeżeli chcesz je przywrócić napisz do nas na adres dx31@mail.com
Wpisz ten identyfikator w tytule wiadomości -
W przypadku braku odpowiedzi w ciągu 24 godzin napisz do nas na ten e-mail: dx31@usa.com
Za odszyfrowanie musisz zapłacić w Bitcoinach. Cena zależy od tego jak szybko do nas napiszesz. Po dokonaniu płatności wyślemy Ci narzędzie, które odszyfruje wszystkie Twoje pliki.
Bezpłatne odszyfrowanie jako gwarancja
Przed dokonaniem płatności możesz przesłać nam do 5 plików do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 4 MB (nie zarchiwizowane), a pliki nie powinny zawierać cennych informacji. (bazy danych, kopie zapasowe, duże arkusze Excel itp.)
Jak zdobyć Bitcoiny
Najłatwiejszym sposobem zakupu bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz także znaleźć inne miejsca do zakupu Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają one swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

Jaka jest rodzina Phobos wariantów oprogramowania ransomware?

Rodzina Phobos to grupa wariantów oprogramowania ransomware znanych ze złośliwej aktywności polegającej na szyfrowaniu plików na komputerach ofiar i żądaniu okupu za odszyfrowanie. Oto kluczowe cechy rodziny ransomware Phobos:

Szyfrowanie plików: Podobnie jak inne warianty ransomware, Phobos szyfruje pliki w systemie ofiary, czyniąc je niedostępnymi. Celem są popularne typy plików, takie jak dokumenty, obrazy, filmy i inne.

Listy okupu: Po zaszyfrowaniu plików Phobos zazwyczaj pozostawia notatki z żądaniem okupu w systemie ofiary. Notatki te zawierają instrukcje dotyczące sposobu skontaktowania się z atakującymi, szczegóły dotyczące płatności okupu, a czasami zawierają unikalny identyfikator ofiary lub inne identyfikatory.

Kanały komunikacji: Phobos często ustanawia kanały komunikacji za pośrednictwem adresów e-mail podanych w notatkach z żądaniem okupu. Ofiary proszone są o skontaktowanie się pod te adresy e-mail w celu wynegocjowania płatności i otrzymania instrukcji dotyczących odszyfrowania swoich plików.

Warianty i ewolucje: Rodzina Fobosów może mieć wiele wariantów lub ewoluować z biegiem czasu dzięki nowym funkcjom lub taktykom. Różnice te mogą mieć podobne podstawowe funkcjonalności, ale mogą różnić się algorytmami szyfrowania, treścią żądania okupu lub metodami dystrybucji.

Płatność w kryptowalutach: Podobnie jak wiele odmian oprogramowania ransomware, Phobos zazwyczaj żąda płatności w kryptowalucie, zwykle Bitcoinie. Dzieje się tak, ponieważ kryptowaluty zapewniają stopień anonimowości atakującym podczas transakcji finansowych.

Ukierunkowane ataki: Ataki Phobos mogą mieć charakter masowy i dotykać osób, firm lub organizacji. Aby infekować systemy, osoby atakujące mogą wykorzystywać różne metody dystrybucji, takie jak wiadomości e-mail phishingowe, zestawy exploitów lub luki w oprogramowaniu.

Podwójne wymuszenie: Niektóre wersje Phobos, podobnie jak inne współczesne odmiany oprogramowania ransomware, stosują taktykę podwójnego wymuszenia. Oprócz szyfrowania plików napastnicy mogą zagrozić ujawnieniem poufnych informacji, jeśli okup nie zostanie zapłacony, co wywiera kolejną presję na ofiary.