Dx31 Ransomware é uma variante de Phobos

Durante nossa análise de novas amostras de arquivos maliciosos, identificamos o Dx31 como um ransomware pertencente à família Phobos. Após a ativação, o Dx31 criptografa os dados, altera os nomes de todos os arquivos criptografados e apresenta duas notas de resgate ("info.hta" e "info.txt").

O Dx31 adiciona o ID da vítima, um endereço de e-mail e a extensão “.dx31” aos nomes dos arquivos. Por exemplo, ele transforma "1.jpg" em "1.jpg.id[9ECFA84E-3449].[dx31@mail.com].dx31" e "2.png" em "2.png.id[9ECFA84E- 3449].[dx31@mail.com].dx31".

A nota de resgate segue um padrão comum associado a ataques de ransomware, notificando a vítima sobre a criptografia de arquivos devido a um suposto problema de segurança em seu computador. A mensagem instrui a vítima a entrar em contato com os invasores via e-mail dx31@mail.com, enfatizando a inclusão de um ID específico no assunto do e-mail.

Alternativamente, outro endereço de e-mail (dx31@usa.com) é fornecido para contato caso não haja resposta dentro de 24 horas. A exigência de pagamento em Bitcoins pela descriptografia de arquivos está presente, ficando o valor do resgate sem especificação, dependendo da velocidade de resposta da vítima.

Para estabelecer credibilidade, os invasores oferecem a descriptografia de até 5 arquivos sem nenhum custo, com condições relacionadas ao tamanho e conteúdo do arquivo. A nota também fornece orientações sobre como obter Bitcoins e alerta contra renomear arquivos criptografados ou usar serviços de descriptografia de terceiros para evitar possíveis golpes ou aumento nas taxas de resgate.

Nota de resgate Dx31 completa

O texto completo da nota de resgate Dx31 é o seguinte:

Todos os seus arquivos foram criptografados!
Todos os seus arquivos foram criptografados devido a um problema de segurança no seu PC. Se desejar restaurá-los, escreva-nos para o e-mail dx31@mail.com
Escreva este ID no título da sua mensagem -
Em caso de não resposta em 24 horas escreva-nos para este e-mail:dx31@usa.com
Você tem que pagar pela descriptografia em Bitcoins. O preço depende da rapidez com que você nos escreve. Após o pagamento enviaremos a você a ferramenta que irá descriptografar todos os seus arquivos.
Descriptografia gratuita como garantia
Antes de pagar você pode nos enviar até 5 arquivos para descriptografia gratuita. O tamanho total dos arquivos deve ser inferior a 4 MB (não arquivados) e os arquivos não devem conter informações valiosas. (bancos de dados, backups, planilhas grandes do Excel, etc.)
Como obter Bitcoins
A maneira mais fácil de comprar bitcoins é no site LocalBitcoins. Você deve se registrar, clicar em ‘Comprar bitcoins’ e selecionar o vendedor por forma de pagamento e preço.
hxxps://localbitcoins.com/buy_bitcoins
Além disso, você pode encontrar outros lugares para comprar Bitcoins e guia para iniciantes aqui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Atenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, pois isso pode causar perda permanente de dados.
A desencriptação dos seus ficheiros com a ajuda de terceiros pode aumentar o preço (eles acrescentam a sua taxa à nossa) ou pode tornar-se vítima de uma fraude.

O que é a família Phobos de variantes de ransomware?

A família Phobos é um grupo de variantes de ransomware conhecidas por suas atividades maliciosas ao criptografar arquivos nos computadores das vítimas e exigir resgate pela descriptografia. Aqui estão as principais características da família de ransomware Phobos:

Criptografia de arquivos: como outras variantes de ransomware, o Phobos criptografa os arquivos no sistema da vítima, tornando-os inacessíveis. Tipos de arquivos comuns, como documentos, imagens, vídeos e muito mais, são direcionados.

Notas de resgate: depois de criptografar os arquivos, Phobos normalmente deixa notas de resgate no sistema da vítima. Estas notas contêm instruções sobre como entrar em contato com os invasores, detalhes sobre o pagamento do resgate e, às vezes, incluem a identificação exclusiva da vítima ou outros identificadores.

Canais de comunicação: Phobos frequentemente estabelece canais de comunicação através de endereços de e-mail fornecidos nas notas de resgate. As vítimas são instruídas a entrar em contato com esses endereços de e-mail para negociar o pagamento e receber instruções sobre como descriptografar seus arquivos.

Variantes e Evoluções: A família Phobos pode ter múltiplas variantes ou evoluir ao longo do tempo com novos recursos ou táticas. Essas variações podem ter semelhanças em suas funcionalidades principais, mas podem diferir em termos de algoritmos de criptografia, conteúdo de notas de resgate ou métodos de distribuição.

Pagamento em criptomoeda: como muitas variedades de ransomware, o Phobos normalmente exige pagamento em criptomoeda, geralmente Bitcoin. Isso ocorre porque as criptomoedas fornecem um certo grau de anonimato para os invasores durante as transações financeiras.

Ataques direcionados: Os ataques Phobos podem ser indiscriminados, afetando indivíduos, empresas ou organizações. Os invasores podem usar vários métodos de distribuição, como e-mails de phishing, kits de exploração ou vulnerabilidades de software, para infectar sistemas.

Extorsão Dupla: Algumas versões do Phobos, como outras variedades modernas de ransomware, envolvem-se em táticas de extorsão dupla. Além de criptografar arquivos, os invasores podem ameaçar vazar informações confidenciais, a menos que o resgate seja pago, acrescentando outra camada de pressão sobre as vítimas.