Dxen-Ransomware

Forscher von Infosec haben kürzlich eine neue Ransomware-Bedrohung namens Dxen entdeckt. Diese Art von Malware verschlüsselt Dateien auf einem infizierten Gerät und verlangt dann vom Opfer eine Zahlung für die Entschlüsselung. Nach erfolgreicher Infiltration eines Geräts initiiert Dxen den Verschlüsselungsprozess und ändert die Namen der auf dem System gespeicherten Dateien. Zu den geänderten Dateinamen gehören:

• Dem Opfer wird eine eindeutige Kennung zugewiesen.
• Die E-Mail-Adresse der Angreifer.
• Eine „.dxen“-Erweiterung.

Beispielsweise kann eine Datei mit dem ursprünglichen Namen „1.jpg“ in „1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen umgewandelt werden.

Nach Abschluss des Verschlüsselungsprozesses generiert Dxen Lösegeldscheine, die den Opfern über ein Popup-Fenster („info.hta“) und eine Textdatei („info.txt“) präsentiert werden. Diese Dateien werden strategisch in allen verschlüsselten Verzeichnissen und auf dem Desktop platziert, um die Sichtbarkeit für den betroffenen Benutzer zu gewährleisten. Insbesondere wurde bestätigt, dass Dxen eine Variante der Phobos-Ransomware- Familie ist, was auf eine Verbindung zu dieser besonderen Art bedrohlicher Software hinweist.

Die Dxen-Ransomware versucht, Geld von ihren Opfern zu erpressen

Die von der Dxen-Ransomware generierte Textdatei teilt dem Opfer mit, dass seine Daten verschlüsselt wurden, und fordert es auf, Kontakt mit den Angreifern aufzunehmen, um den Entschlüsselungsprozess zu erleichtern. Darüber hinaus bietet das zugehörige Popup-Fenster weitere Details zur Ransomware-Infektion und weist darauf hin, dass der Entschlüsselungsprozess die Zahlung eines Lösegelds in der Kryptowährung Bitcoin erfordert. Während die genaue Höhe des Lösegelds nicht genannt wird, hängt sie angeblich von der Schnelligkeit ab, mit der das Opfer Kontakt aufnimmt. Insbesondere erhält das Opfer vor der Verpflichtung zur Lösegeldzahlung die Möglichkeit, den Entschlüsselungsprozess an bis zu fünf Dateien kostenlos zu testen.

Der Lösegeldschein endet mit warnenden Warnungen an das Opfer. Insbesondere wird davon abgeraten, die verschlüsselten Dateien umzubenennen oder zu versuchen, Entschlüsselungssoftware von Drittanbietern zu verwenden, da solche Aktionen möglicherweise zu einem dauerhaften Datenverlust führen könnten. Diese Details unterstreichen die Zwangstaktiken der Dxen-Ransomware und verdeutlichen die finanziellen und betrieblichen Risiken, denen Opfer ausgesetzt sind, die möglicherweise gezwungen sind, mit den Angreifern zusammenzuarbeiten, um wieder Zugriff auf ihre verschlüsselten Daten zu erhalten.

Die Dxen-Ransomware deaktiviert mehrere Wiederherstellungsoptionen

Als Teil der Phobos-Ransomware-Familie weist Dxen dieselben Merkmale wie andere Programme dieser Gruppe auf und zielt zur Verschlüsselung hauptsächlich auf lokale und im Netzwerk freigegebene Dateien ab. Insbesondere bleiben infizierte Geräte betriebsbereit, da kritische Systemdateien absichtlich vom Verschlüsselungsprozess verschont bleiben. Um Ausnahmen aufgrund von Dateien zu verhindern, die als „in Verwendung“ gelten, beendet Dxen Prozesse, die mit geöffneten Dateien verbunden sind, wie z. B. Datenbankprogramme und Textdatei-Reader.

Um eine doppelte Verschlüsselung zuvor gefährdeter Dateien zu vermeiden, führen die Phobos Ransomware-Programme eine Liste der Ransomware-Typen. Allerdings ist diese Strategie nicht narrensicher, da sie nicht alle existierenden Datenverschlüsselungs-Malware umfasst. Darüber hinaus ergreifen diese Ransomware-Programme Maßnahmen, um die Möglichkeit einer Dateiwiederherstellung durch Löschen der Schattenkopien des Volumes auszuschließen.

Die Persistenz wird durch die Phobos-Malware durch Selbstreplikation auf den %LOCALAPPDATA%-Pfad und Registrierung mit spezifischen Run-Schlüsseln sichergestellt. Folglich startet die Ransomware nach jedem Systemneustart automatisch und stellt so eine konsistente Präsenz auf dem infizierten Gerät sicher.

Darüber hinaus verfügt die Phobos-Ransomware über eine besorgniserregende Fähigkeit, indem sie Geolokalisierungsdaten sammelt, die es den Angreifern ermöglichen, die Machbarkeit einer weiteren Infektion einzuschätzen. Die Motivation hinter diesen Angriffen kann durch geopolitische Faktoren, die wirtschaftliche Stärke der Region oder andere strategische Überlegungen beeinflusst werden, was die Vielschichtigkeit der Bedrohung durch Ransomware innerhalb der Phobos-Familie verdeutlicht.

Befolgen Sie nicht die Anweisungen von Cyberkriminellen

Sicherheitsforscher betonen, dass die Entschlüsselung von durch Ransomware-Bedrohungen verschlüsselten Daten typischerweise eine komplexe Aufgabe ohne die Beteiligung von Cyberkriminellen ist. Darüber hinaus erhalten Opfer oft nicht die versprochenen Entschlüsselungswerkzeuge, selbst wenn sie den Lösegeldforderungen nachkommen. Daher warnen Experten dringend davor, Lösegeld zu zahlen, da dies nicht nur die Wiederherstellung der Daten nicht gewährleistet, sondern auch illegale Aktivitäten aufrechterhält und unterstützt.

Um die Verschlüsselung zusätzlicher Daten durch Ransomware zu stoppen, muss die unsichere Software vollständig vom Betriebssystem entfernt werden. Es ist jedoch wichtig zu beachten, dass die Entfernung der Ransomware selbst nicht automatisch zur Wiederherstellung verschlüsselter Dateien führt. Die einzig anwendbare Lösung besteht darin, Dateien aus einem zuvor erstellten Backup wiederherzustellen, sofern dieses vorhanden ist und an einem separaten Ort gespeichert ist.

Um die allgemeine Datensicherheit zu verbessern, empfehlen Experten einen proaktiven Ansatz, indem Backups an mehreren und unterschiedlichen Standorten verwaltet werden. Dazu können Remote-Server, nicht angeschlossene Speichergeräte und andere sichere Medien gehören, um sicherzustellen, dass die Datenwiederherstellung im Falle eines Ransomware-Angriffs weiterhin eine praktikable Option bleibt. Diese umfassende Strategie trägt dazu bei, die mit Ransomware verbundenen Risiken zu mindern und unterstreicht die Bedeutung eines robusten Backup-Systems für den Schutz wertvoller Daten.

Der wichtigste Lösegeldschein, der den Opfern der Dnex-Ransomware zugestellt wurde, lautet:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Die von Dnex Ransomware generierten Textdateien enthalten die folgende Meldung:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'