Multi-License Discount Quote
Base de Datos de Amenazas Ransomware Ransomware

Ransomware

Por Mezo en Ransomware
Traducir a:
Español

Los investigadores de Infosec descubrieron recientemente una nueva amenaza de ransomware conocida como Dxen. Este tipo de malware opera cifrando archivos en un dispositivo infectado y luego exigiendo un pago a la víctima por descifrarlos. Al infiltrarse con éxito en un dispositivo, Dxen inicia el proceso de cifrado, alterando los nombres de los archivos almacenados en el sistema. Los nombres de archivos modificados incluyen:

  • Se asigna un identificador único a la víctima.
  • La dirección de correo electrónico de los atacantes.
  • Una extensión '.dxen'.

Por ejemplo, un archivo originalmente llamado '1.jpg' puede transformarse en '1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.'

Una vez completado el proceso de cifrado, Dxen genera notas de rescate que se presentan a las víctimas a través de una ventana emergente ('info.hta') y un archivo de texto ('info.txt'). Estos archivos se colocan estratégicamente en todos los directorios cifrados y en el escritorio para garantizar la visibilidad para el usuario afectado. En particular, se ha confirmado que Dxen es una variante originaria de la familia Phobos Ransomware , lo que indica una conexión con esta cepa particular de software amenazante.

El ransomware Dxen busca extorsionar a sus víctimas

El archivo de texto generado por el ransomware Dxen comunica a la víctima que sus datos han sido cifrados y la insta a establecer contacto con los atacantes para facilitar el proceso de descifrado. Además de esto, la ventana emergente adjunta ofrece más detalles sobre la infección de ransomware, especificando que el proceso de descifrado requiere el pago de un rescate en criptomoneda Bitcoin. Si bien no se especifica el monto exacto del rescate, supuestamente depende de la prontitud con la que la víctima inicie el contacto. En particular, antes de comprometerse con el pago del rescate, la víctima tiene la oportunidad de probar el proceso de descifrado en hasta cinco archivos sin ningún cargo.

La nota de rescate concluye con advertencias de precaución para la víctima. Específicamente, desaconseja cambiar el nombre de los archivos cifrados o intentar utilizar software de descifrado de terceros, ya que tales acciones podrían provocar una pérdida permanente de datos. Estos detalles subrayan las tácticas coercitivas empleadas por Dxen Ransomware, enfatizando los riesgos financieros y operativos que enfrentan las víctimas que pueden verse obligadas a interactuar con los atacantes para recuperar el acceso a sus datos cifrados.

El Dxen Ransomware cierra varias opciones de recuperación

Dxen, como parte de la familia Phobos Ransomware, comparte características con otros programas dentro de este grupo y se dirige principalmente a archivos locales y compartidos en red para su cifrado. En particular, los dispositivos infectados permanecen operativos, ya que los archivos críticos del sistema se excluyen intencionalmente del proceso de cifrado. Para evitar excepciones debidas a archivos considerados "en uso", Dxen finaliza los procesos asociados con archivos abiertos, como programas de bases de datos y lectores de archivos de texto.

Para evitar el doble cifrado de archivos previamente comprometidos, los programas Phobos Ransomware mantienen una lista de tipos de ransomware. Sin embargo, esta estrategia no es infalible, ya que no abarca todo el malware de cifrado de datos existente. Además, estos programas ransomware toman medidas para eliminar la posibilidad de recuperación de archivos borrando las instantáneas de volumen.

El malware Phobos garantiza la persistencia mediante la autorreplicación en la ruta %LOCALAPPDATA% y el registro con claves de ejecución específicas. En consecuencia, el ransomware se inicia automáticamente después de cada reinicio del sistema, lo que garantiza una presencia constante en el dispositivo infectado.

Además, Phobos Ransomware muestra una capacidad preocupante al recopilar datos de geolocalización, lo que permite a los atacantes evaluar la viabilidad de continuar con la infección. La motivación detrás de estos ataques puede verse influenciada por factores geopolíticos, la fortaleza económica de la región u otras consideraciones estratégicas, lo que resalta la naturaleza multifacética de la amenaza que representa el ransomware dentro de la familia Phobos.

No sigas las instrucciones dejadas por los ciberdelincuentes

Los investigadores de seguridad enfatizan que descifrar datos cifrados por amenazas de ransomware suele ser una tarea compleja sin la participación de ciberdelincuentes. Además, incluso cuando las víctimas cumplen con las demandas de rescate, a menudo no obtienen las herramientas de descifrado prometidas. En consecuencia, los expertos advierten fuertemente contra el pago de rescates, ya que no sólo no garantiza la recuperación de datos sino que también perpetúa y respalda actividades ilegales.

Para detener el cifrado de datos adicionales por parte del ransomware, el software inseguro debe eliminarse por completo del sistema operativo. Sin embargo, es fundamental tener en cuenta que la eliminación del ransomware en sí no restaura automáticamente los archivos cifrados. La única solución aplicable es recuperar archivos de una copia de seguridad creada previamente, siempre que exista y esté almacenada en una ubicación separada.

Para mejorar la seguridad general de los datos, los expertos recomiendan adoptar un enfoque proactivo manteniendo copias de seguridad en ubicaciones múltiples y distintas. Esto puede incluir servidores remotos, dispositivos de almacenamiento desconectados y otros medios seguros, lo que garantiza que la recuperación de datos siga siendo una opción viable en caso de un ataque de ransomware. Esta estrategia integral ayuda a mitigar los riesgos asociados con el ransomware y subraya la importancia de un sistema de respaldo sólido para salvaguardar datos valiosos.

La principal nota de rescate entregada a las víctimas de Dnex Ransomware es:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Los archivos de texto generados por Dnex Ransomware contienen el siguiente mensaje:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

Artículos Relacionados

Tendencias

Mas Visto

Cargando...