Программа-вымогатель Dx31 — вариант Фобоса

В ходе анализа новых образцов вредоносных файлов мы определили Dx31 как программу-вымогатель, принадлежащую семейству Phobos. После активации Dx31 шифрует данные, меняет имена всех зашифрованных файлов и отображает две записки с требованием выкупа («info.hta» и «info.txt»).

Dx31 добавляет к именам файлов идентификатор жертвы, адрес электронной почты и расширение «.dx31». Например, он преобразует «1.jpg» в «1.jpg.id[9ECFA84E-3449].[dx31@mail.com].dx31», а «2.png» в «2.png.id[9ECFA84E- 3449].[dx31@mail.com].dx31".

Записка о выкупе соответствует общей схеме, связанной с атаками программ-вымогателей, и уведомляет жертву о шифровании файлов из-за предполагаемой проблемы безопасности на ее компьютере. В сообщении жертве предлагается связаться с злоумышленниками по электронной почте dx31@mail.com, при этом особое внимание уделяется включению конкретного идентификатора в тему электронного письма.

Альтернативно, для связи предоставляется другой адрес электронной почты (dx31@usa.com), если в течение 24 часов не будет ответа. Присутствует требование оплаты в биткойнах за расшифровку файлов, при этом сумма выкупа остается неуказанной и зависит от скорости ответа жертвы.

Чтобы установить доверие, злоумышленники предлагают бесплатно расшифровать до 5 файлов с условиями, связанными с размером файла и его содержимым. В примечании также содержатся рекомендации по получению биткойнов и предостережения против переименования зашифрованных файлов или использования сторонних служб расшифровки, чтобы избежать потенциального мошенничества или увеличения комиссий за выкуп.

Записка о выкупе Dx31 полностью

Полный текст записки о выкупе Dx31 выглядит следующим образом:

Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего компьютера. Если вы хотите их восстановить, напишите нам на почту dx31@mail.com.
Напишите этот идентификатор в заголовке вашего сообщения -
В случае отсутствия ответа в течение 24 часов напишите нам на этот адрес электронной почты: dx31@usa.com.
За расшифровку придется платить в биткойнах. Цена зависит от того, как быстро вы нам напишете. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
Бесплатная расшифровка в качестве гарантии
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов должен быть не более 4Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вам необходимо зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенничества.

Что такое семейство разновидностей программ-вымогателей Phobos?

Семейство Phobos — это группа вариантов программ-вымогателей, известных своей вредоносной деятельностью по шифрованию файлов на компьютерах жертв и требованию выкупа за расшифровку. Вот ключевые характеристики семейства программ-вымогателей Phobos:

Шифрование файлов. Как и другие варианты программ-вымогателей, Phobos шифрует файлы в системе жертвы, делая их недоступными. Целью атаки являются распространенные типы файлов, такие как документы, изображения, видео и т. д.

Заметки о выкупе: после шифрования файлов Фобос обычно оставляет в системе жертвы заметки о выкупе. Эти заметки содержат инструкции о том, как связаться с злоумышленниками, подробности о выплате выкупа, а иногда включают уникальный идентификатор жертвы или другие идентификаторы.

Каналы связи: Фобос часто устанавливает каналы связи через адреса электронной почты, указанные в записках о выкупе. Жертвам предлагается обратиться на эти адреса электронной почты, чтобы договориться об оплате и получить инструкции о том, как расшифровать их файлы.

Варианты и эволюция: Семейство Фобос может иметь несколько вариантов или со временем развиваться с новыми функциями или тактиками. Эти варианты могут иметь сходство в своих основных функциях, но могут различаться с точки зрения алгоритмов шифрования, содержания записки о выкупе или методов распространения.

Оплата в криптовалюте. Как и многие другие разновидности программ-вымогателей, Phobos обычно требует оплаты в криптовалюте, обычно в биткойнах. Это связано с тем, что криптовалюты обеспечивают определенную степень анонимности злоумышленникам во время финансовых транзакций.

Целевые атаки. Атаки Фобоса могут носить неизбирательный характер и поражать отдельных лиц, предприятия или организации. Для заражения систем злоумышленники могут использовать различные методы распространения, такие как фишинговые электронные письма, наборы эксплойтов или уязвимости в программном обеспечении.

Двойное вымогательство. Некоторые версии Phobos, как и другие современные разновидности программ-вымогателей, используют тактику двойного вымогательства. Помимо шифрования файлов, злоумышленники могут угрожать утечкой конфиденциальной информации, если не будет выплачен выкуп, что усиливает давление на жертв.