Lexus Ransomware
Ransomware ist eine Art bedrohlicher Software, die den Zugriff auf einen Computer oder Daten verhindern soll, bis ein Lösegeld gezahlt wird. Bei dieser Form des Cyberangriffs werden häufig die Dateien des Opfers verschlüsselt, wodurch sie unzugänglich werden und ein Lösegeld für ihre Freigabe verlangt wird.
Die Lexus Ransomware ist eine spezielle Malware-Bedrohung, die die Daten der Opfer sperrt, indem sie eine Vielzahl von Dateien verschlüsselt und sie dadurch unbrauchbar und unzugänglich macht. Das Hauptziel der Cyberkriminellen hinter Lexus besteht darin, Opfer zu erpressen, indem sie ein Lösegeld für die Möglichkeit fordern, ihre Dateien wiederherzustellen. Neben der Verschlüsselung benennt Lexus auch Dateien um und generiert zwei Lösegeldforderungen, „info.txt“ und „info.hta“. Sicherheitsforscher haben die Lexus Ransomware als eine Variante der Phobos Ransomware- Familie identifiziert.
Beim Umbenennen von Dateien hängt Lexus die ID des Opfers, die E-Mail-Adresse „emily.florez@zohomail.com“ und die Erweiterung „Lexus“ an die ursprünglichen Dateinamen an. Beispielsweise wird „1.doc“ zu „1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus“ und „2.pdf“ wird zu „2.pdf.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus“.
Inhaltsverzeichnis
Die Lexus-Ransomware versucht, von Opfern Lösegeldzahlungen zu erpressen
Der Erpresserbrief der Lexus Ransomware informiert das Opfer darüber, dass seine Daten von den Angreifern verschlüsselt und exfiltriert wurden. Um wieder Zugriff auf ihre Daten zu erhalten, müssen sich die Opfer spezielle Entschlüsselungssoftware besorgen, die von den Cyberkriminellen bereitgestellt wird. Der Brief warnt, dass der Versuch, die Daten eigenständig oder mithilfe von Software von Drittanbietern zu entschlüsseln, zu einem dauerhaften Datenverlust führen kann. Darüber hinaus verspricht der Brief, dass die Daten nach Zahlung gelöscht und nicht verkauft oder missbraucht werden.
Allerdings droht der Hinweis auch damit, dass die exfiltrierten Daten an interessierte Parteien weitergegeben werden, wenn das Opfer nicht innerhalb von zwei Tagen reagiert. Er nennt zwei E-Mail-Adressen als Kommunikationskanäle mit den Angreifern (emily.florez@zohomail.com und barbara.li@gmx.com) und rät davon ab, verschlüsselte Dateien umzubenennen.
Die Phobos-Ransomware-Familie wird häufig von Cyberkriminellen genutzt
Ransomware aus der Phobos-Familie ist dafür bekannt, sowohl lokale als auch im Netzwerk freigegebene Dateien zu verschlüsseln, Firewalls zu deaktivieren und Schattenvolumenkopien zu löschen. Diese Varianten verbreiten sich normalerweise über unsichere Remote Desktop Protocol (RDP)-Dienste.
Um ihre Präsenz auf dem infizierten System aufrechtzuerhalten, duplizieren sich die Phobos Ransomware-Varianten in bestimmte Verzeichnisse und registrieren sich mit bestimmten Run-Schlüsseln in der Windows-Registrierung. Sie sammeln auch Standortdaten und können bestimmte Standorte vom Verschlüsselungsprozess ausschließen.
Setzen Sie auf einen umfassenden Sicherheitsansatz gegen Malware und Ransomware
Zum wirksamen Schutz vor Malware und Ransomware sollten Benutzer einen umfassenden Sicherheitsansatz verfolgen, der die folgenden Maßnahmen umfasst:
Regelmäßige Backups :
Häufige Backups: Sichern Sie alle wichtigen Daten regelmäßig auf externen Laufwerken oder im Cloud-Speicher. Stellen Sie sicher, dass die Backups offline oder an einem sicheren, entfernten Ort aufbewahrt werden, um zu verhindern, dass sie bei einem Angriff kompromittiert werden.
Testen Sie die Wiederherstellung: Testen Sie den Wiederherstellungsprozess nach Möglichkeit regelmäßig, um sicherzustellen, dass die Sicherungen ordnungsgemäß funktionieren und Daten wiederhergestellt werden können.
Aktuelle Software :
Betriebssystem-Updates: Halten Sie das Betriebssystem sowie die gesamte installierte Software mit den neuesten Patches auf dem neuesten Stand.
Automatische Updates: Aktivieren Sie nach Möglichkeit automatische Updates, um eine rechtzeitige Anwendung von Sicherheitspatches sicherzustellen.
Starke Sicherheitssoftware :
Anti-Malware: Installieren Sie bewährte Anti-Malware-Software, die Echtzeitschutz vor Bedrohungen bietet.
Firewall-Schutz: Verwenden Sie eine robuste Firewall, um unbefugten Zugriff auf Ihr Netzwerk und Ihre Systeme zu blockieren.
Sichere Konfiguration :
RDP-Zugriff einschränken: Deaktivieren Sie das Remote Desktop Protocol (RDP), wenn es nicht benötigt wird, oder sichern Sie es durch die Verwendung sicherer Passwörter, Multi-Faktor-Authentifizierung (MFA) und die Einschränkung des Zugriffs über ein virtuelles privates Netzwerk (VPN).
Prinzip der geringsten Privilegien: Setzen Sie das Prinzip der geringsten Privilegien um, indem Sie die Zugriffsrechte der Benutzer auf das für ihre Rolle erforderliche Minimum beschränken.
E-Mail- und Web-Sicherheit :
E-Mail-Filterung: Verwenden Sie E-Mail-Filterlösungen, um Phishing-E-Mails und schädliche Anhänge zu blockieren.
Webfilterung: Implementieren Sie eine Webfilterung, um den Zugriff auf bekannte bösartige Websites einzuschränken und Drive-By-Downloads zu verhindern.
Aufklärung und Sensibilisierung der Benutzer :
Schulungsprogramme: Führen Sie regelmäßige Schulungen durch, um Benutzer über die Gefahren von Malware und Ransomware aufzuklären. Unter anderem erfahren Sie, wie Sie Phishing-Versuche erkennen und unsichere Vorgehensweisen vermeiden.
Simulierte Angriffe : Führen Sie simulierte Phishing-Angriffe durch, um das Bewusstsein der Benutzer zu testen und zu verbessern.
Durch die Integration dieser Maßnahmen in eine umfassende Sicherheitsstrategie können Benutzer ihre Abwehrmaßnahmen gegen Malware und Ransomware deutlich verbessern, das Infektionsrisiko senken und die Auswirkungen potenzieller Angriffe verringern.
Der vollständige Text der Lösegeldforderung, die die Lexus Ransomware hinterlassen hat, lautet:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
