Multi-License Discount Quote
脅威データベース Ransomware Dxen ランサムウェア

Dxen ランサムウェア

RansomwareMezoまで
翻訳内容:
日本語

Infosec の研究者は最近、Dxen として知られる新たなランサムウェアの脅威を発見しました。このタイプのマルウェアは、感染したデバイス上のファイルを暗号化し、復号化のために被害者に支払いを要求することによって動作します。デバイスへの侵入に成功すると、Dxen は暗号化プロセスを開始し、システムに保存されているファイルの名前を変更します。変更されたファイル名には次のものが含まれます。

  • 被害者には一意の識別子が割り当てられます。
  • 攻撃者の電子メール アドレス。
  • 拡張子は「.dxen」。

たとえば、元々「1.jpg」という名前だったファイルは、「1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen」に変換される場合があります。

暗号化プロセスの完了後、Dxen は身代金メモを生成し、ポップアップ ウィンドウ (「info.hta」) とテキスト ファイル (「info.txt」) を通じて被害者に提示します。これらのファイルは、影響を受けるユーザーが確実に見えるように、すべての暗号化されたディレクトリとデスクトップに戦略的に配置されます。特に、Dxen はPhobos Ransomwareファミリに由来する亜種であることが確認されており、この特定の種類の脅威ソフトウェアとの関連性が示されています。

Dxen ランサムウェアは被害者から金銭を強要しようとします

Dxen ランサムウェアによって生成されたテキスト ファイルは、被害者にデータが暗号化されていることを伝え、復号化プロセスを促進するために攻撃者との連絡を確立するよう促します。これに加えて、付随するポップアップ ウィンドウにはランサムウェア感染に関する詳細が表示され、復号化プロセスにはビットコイン暗号通貨での身代金の支払いが必要であることが示されます。正確な身代金の金額は不明ですが、被害者が連絡を開始する速さによって決まると言われています。特に、身代金の支払いを約束する前に、被害者には無料で最大 5 つのファイルの復号化プロセスをテストする機会が与えられます。

身代金メモの最後には、被害者に対する警告が書かれています。具体的には、暗号化されたファイルの名前を変更したり、サードパーティの復号化ソフトウェアを使用したりすることは、永久的なデータ損失につながる可能性があるため、行わないことを推奨しています。これらの詳細は、Dxen ランサムウェアが採用した強制的な戦術を強調しており、暗号化されたデータへのアクセスを取り戻すために攻撃者との関わりを強いられる可能性のある被害者が直面する経済的および運用上のリスクを強調しています。

Dxen ランサムウェアはいくつかの回復オプションをシャットダウンします

Dxen は、Phobos Ransomware ファミリの一部として、このグループ内の他のプログラムと特性を共有しており、主にローカル ファイルとネットワーク共有ファイルの両方を暗号化の対象としています。特に、重要なシステム ファイルは意図的に暗号化プロセスから除外されるため、感染したデバイスは動作し続けます。 「使用中」と見なされるファイルによる例外を防ぐために、Dxen はデータベース プログラムやテキスト ファイル リーダーなど、開いているファイルに関連付けられたプロセスを終了します。

以前に侵害されたファイルが二重暗号化されることを避けるために、Phobos Ransomware プログラムはランサムウェアの種類のリストを管理しています。ただし、この戦略は既存のデータ暗号化マルウェアをすべて網羅しているわけではないため、絶対確実というわけではありません。さらに、これらのランサムウェア プログラムは、シャドウ ボリューム コピーをワイプすることでファイルの回復の可能性を排除する措置を講じます。

Phobos マルウェアは、%LOCALAPPDATA% パスへの自己複製と特定の Run キーへの登録を通じて永続性を確保します。その結果、システムが再起動されるたびにランサムウェアが自動的に起動し、感染したデバイス上で一貫した存在が保証されます。

さらに、Phobos ランサムウェアは地理位置情報データを収集することで懸念される機能を示し、攻撃者が感染を進める可能性を評価できるようにします。これらの攻撃の背後にある動機は、地政学的要因、地域の経済力、またはその他の戦略的考慮事項によって影響を受ける可能性があり、フォボス ファミリ内のランサムウェアによってもたらされる脅威の多面的な性質が浮き彫りになっています。

サイバー犯罪者が残した指示には従わないでください

セキュリティ研究者らは、ランサムウェアの脅威によって暗号化されたデータの復号化は、通常、サイバー犯罪者の関与がなければ複雑な作業であると強調しています。さらに、被害者が身代金の要求に応じたとしても、約束された復号ツールを入手できないこともよくあります。したがって、専門家は身代金の支払いに対して強く警告しています。身代金の支払いはデータの回復を保証できないだけでなく、違法行為を永続させ、支援することになるからです。

ランサムウェアによる追加データの暗号化を阻止するには、安全でないソフトウェアをオペレーティング システムから完全に削除する必要があります。ただし、ランサムウェア自体を削除しても、暗号化されたファイルは自動的に復元されないことに注意することが重要です。適用できる唯一の解決策は、以前に作成したバックアップが存在し、別の場所に保存されている場合、そのバックアップからファイルを回復することです。

全体的なデータの安全性を高めるために、専門家は、複数の異なる場所にバックアップを維持するというプロアクティブなアプローチを採用することを推奨しています。これには、リモート サーバー、接続されていないストレージ デバイス、その他の安全な媒体が含まれるため、ランサムウェア攻撃が発生した場合でもデータ回復が実行可能な選択肢として残されます。この包括的な戦略は、ランサムウェアに関連するリスクを軽減するのに役立ち、貴重なデータを保護するための堅牢なバックアップ システムの重要性を強調します。

Dnex ランサムウェアの被害者に配信された主な身代金メモは次のとおりです。

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Dnex Ransomware によって生成されたテキスト ファイルには、次のメッセージが含まれています。

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'

トレンド

Ldhy ランサムウェア

Ransomware
研究者たちは、マルウェアの脅威の調査を通じて、Ldhy という名前の新しいランサムウェアを発見しました。この脅威的なソフトウェアは、さまざまな種類のファイルを暗号化する機能を備えています。さらに、暗号化プロセス中にファイル名に個別の拡張子「.ldhy」が追加されます。たとえば、元々「1.jpg」という名前だったファイルは「1.jpg.ldhy」に変換され、「2.pdf」は「2.pdf.ldh...

Ssj4.io

望ましくない可能性のあるプログラム, Browser Hijackers, Rogue Websites
サイバーセキュリティの専門家は、詐欺的な Web サイトを調査していたところ、疑わしい検索エンジンである ssj4.io へのアクセスをユーザーに強制する不審なアプリケーションを含むインストール パッケージを特定しました。通常、ブラウザ ハイジャック プログラムはブラウザの設定を操作してそのようなサイトを宣伝しますが、この特定の例では、アプリケーションはこれらの設定を変更することを控えていま...

Jastugoa.top

Rogue Websites, Adware
研究者らは、不審なオンライン プラットフォームを調査中に不正 Web サイト Jastugoa.top を発見しました。この Web サイトは、疑わしいコンテンツを宣伝し、スパム ブラウザ通知の配信を促進します。 Jastugoa.top には、その疑わしい性質に加えて、ユーザーを他の望ましくない場所にリダイレクトする機能があり、多くの場合、さらに信頼性の低いサイトにユーザーを誘導します。 ...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
63,488
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
51,905
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
45,515
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...