Lexus Ransomware

El ransomware es un tipo de software amenazante diseñado para impedir el acceso a una computadora o a sus datos hasta que se pague un rescate. Esta forma de ciberataque suele implicar el cifrado de los archivos de la víctima, haciéndolos inaccesibles y exigiendo un rescate por su liberación.

Lexus Ransomware es una amenaza de malware específica que bloquea los datos de las víctimas cifrando una amplia gama de archivos, haciéndolos inutilizables e inaccesibles. El objetivo principal de los ciberdelincuentes detrás de Lexus es extorsionar a las víctimas exigiéndoles el pago de un rescate por la posibilidad de restaurar sus archivos. Más allá del cifrado, Lexus también cambia el nombre de los archivos y genera dos notas de rescate, 'info.txt' e 'info.hta'. Los investigadores de seguridad han identificado Lexus Ransomware como una variante de la familia Phobos Ransomware .

Al cambiar el nombre de los archivos, Lexus agrega la identificación de la víctima, la dirección de correo electrónico 'emily.florez@zohomail.com' y el. Extensión 'Lexus' a los nombres de archivos originales. Por ejemplo, '1.doc' se convierte en '1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus' y '2.pdf' cambia a '2.pdf.id[9ECFA74E -3506].[emily.florez@zohomail.com].Lexus'.

El ransomware Lexus busca extorsionar a las víctimas para que paguen un rescate

La nota de rescate de Lexus Ransomware informa a la víctima que los atacantes han cifrado y extraído sus datos. Para recuperar el acceso a sus datos, las víctimas deben obtener un software de descifrado específico proporcionado por los ciberdelincuentes. La nota advierte que intentar descifrar los datos de forma independiente o utilizar software de terceros podría provocar una pérdida permanente de datos. Además, la nota promete que tras el pago, los datos se eliminarán y no se venderán ni se utilizarán de forma maliciosa.

Sin embargo, la nota también amenaza con que si la víctima no responde en un plazo de dos días, los datos exfiltrados serán compartidos con los interesados. Proporciona dos direcciones de correo electrónico como canales de comunicación con los atacantes (emily.florez@zohomail.com y barbara.li@gmx.com) y desaconseja cambiar el nombre de los archivos cifrados.

Los ciberdelincuentes suelen utilizar la familia Phobos Ransomware

El ransomware de la familia Phobos es conocido por cifrar archivos locales y compartidos en red, desactivar firewalls y eliminar instantáneas de volumen. Estas variantes generalmente se propagan a través de servicios inseguros de Protocolo de escritorio remoto (RDP).

Para mantener su presencia en el sistema infectado, las variantes de Phobos Ransomware se duplican en directorios específicos y se registran con claves de ejecución designadas en el registro de Windows. También recopilan datos de ubicación y pueden excluir ciertas ubicaciones del proceso de cifrado.

Adopte un enfoque de seguridad integral contra malware y ransomware

Para protegerse eficazmente contra malware y ransomware, los usuarios deben adoptar un enfoque de seguridad integral que incluya las siguientes medidas:

Copias de seguridad periódicas :

Copias de seguridad frecuentes: realice copias de seguridad periódicas de todos los datos importantes en unidades externas o almacenamiento en la nube. Asegúrese de que las copias de seguridad se mantengan fuera de línea o en una ubicación remota y segura para evitar que se vean comprometidas durante un ataque.

Probar restauraciones: si es posible, pruebe periódicamente el proceso de restauración para confirmar que las copias de seguridad funcionan correctamente y que los datos se pueden recuperar.

Software actualizado :

Actualizaciones del sistema operativo: mantenga actualizado el sistema operativo y cualquier software instalado con los últimos parches.

Actualizaciones automáticas: habilite las actualizaciones automáticas cuando sea posible para garantizar la aplicación oportuna de los parches de seguridad.

Software de seguridad potente :

Antimalware: instale software antimalware confiable que ofrezca protección en tiempo real contra amenazas.

Protección de firewall: utilice un firewall sólido para bloquear el acceso no autorizado a su red y sistemas.

Configuración segura :

Restrinja el acceso RDP: deshabilite el Protocolo de escritorio remoto (RDP) si no es necesario, o protéjalo mediante contraseñas seguras, autenticación multifactor (MFA) y limite el acceso a través de una red privada virtual (VPN).

Principio de privilegio mínimo: ejecute el principio de privilegio mínimo limitando los derechos de acceso de los usuarios al mínimo necesario para su función.

Seguridad web y de correo electrónico :

Filtrado de correo electrónico: utilice soluciones de filtrado de correo electrónico para bloquear correos electrónicos de phishing y archivos adjuntos maliciosos.

Filtrado web: implemente filtrado web para restringir el acceso a sitios web maliciosos conocidos y evitar descargas no autorizadas.

Educación y concienciación del usuario :

Programas de educación: lleve a cabo sesiones de capacitación periódicas para educar a los usuarios sobre los peligros del malware y el ransomware, incluido cómo reconocer los intentos de phishing y evitar prácticas inseguras.

Ataques simulados : realice ataques de phishing simulados para probar y mejorar el conocimiento del usuario.

Al integrar estas medidas en una estrategia de seguridad integral, los usuarios pueden mejorar significativamente sus defensas contra el malware y el ransomware, reduciendo el riesgo de infección y disminuyendo el impacto de cualquier ataque potencial.

El texto completo de la nota de rescate dejada por Lexus Ransomware es:

'Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'