Lexus Ransomware

Un ransomware est un type de logiciel menaçant conçu pour empêcher l'accès à un ordinateur ou à des données jusqu'à ce qu'une rançon soit payée. Cette forme de cyberattaque implique souvent le cryptage des fichiers de la victime, les rendant inaccessibles et exigeant une rançon pour leur libération.

Le Lexus Ransomware est une menace malveillante spécifique qui verrouille les données des victimes en cryptant un large éventail de fichiers, les rendant inutilisables et inaccessibles. L'objectif principal des cybercriminels derrière Lexus est d'extorquer les victimes en exigeant le paiement d'une rançon pour avoir la possibilité de restaurer leurs fichiers. Au-delà du cryptage, Lexus renomme également les fichiers et génère deux demandes de rançon, « info.txt » et « info.hta ». Les chercheurs en sécurité ont identifié Lexus Ransomware comme une variante de la famille Phobos Ransomware .

Lors du renommage des fichiers, Lexus ajoute l'identifiant de la victime, l'adresse e-mail « emily.florez@zohomail.com » et le. Extension « Lexus » aux noms de fichiers d'origine. Par exemple, « 1.doc » devient « 1.doc.id[9ECFA74E-3506].[emily.florez@zohomail.com].Lexus », et « 2.pdf » devient « 2.pdf.id[9ECFA74E ». -3506].[emily.florez@zohomail.com].Lexus'.

Le ransomware Lexus cherche à extorquer le paiement d’une rançon aux victimes

La demande de rançon du Lexus Ransomware informe la victime que ses données ont été cryptées et exfiltrées par les attaquants. Pour retrouver l'accès à leurs données, les victimes doivent se procurer un logiciel de décryptage spécifique fourni par les cybercriminels. La note prévient que tenter de décrypter les données de manière indépendante ou en utilisant un logiciel tiers pourrait entraîner une perte permanente de données. De plus, la note promet qu'après le paiement, les données seront supprimées et ne seront pas vendues ou utilisées de manière malveillante.

Cependant, la note menace également que si la victime ne répond pas dans les deux jours, les données exfiltrées seront partagées avec les parties intéressées. Il fournit deux adresses e-mail comme canaux de communication avec les attaquants (emily.florez@zohomail.com et barbara.li@gmx.com) et déconseille de renommer les fichiers cryptés.

La famille Phobos Ransomware est souvent utilisée par les cybercriminels

Les ransomwares de la famille Phobos sont connus pour chiffrer les fichiers locaux et partagés sur le réseau, désactiver les pare-feu et supprimer les clichés instantanés de volumes. Ces variantes se propagent généralement via des services RDP (Remote Desktop Protocol) non sécurisés.

Pour maintenir leur présence sur le système infecté, les variantes de Phobos Ransomware se dupliquent dans des répertoires spécifiques et s'enregistrent avec les clés Exécuter désignées dans le registre Windows. Ils collectent également des données de localisation et peuvent exclure certains emplacements du processus de cryptage.

Adoptez une approche de sécurité globale contre les logiciels malveillants et les ransomwares

Pour se protéger efficacement contre les logiciels malveillants et les ransomwares, les utilisateurs doivent adopter une approche de sécurité globale qui comprend les mesures suivantes :

Sauvegardes régulières :

Sauvegardes fréquentes : sauvegardez régulièrement toutes les données importantes sur des disques externes ou sur un stockage cloud. Assurez-vous que les sauvegardes sont conservées hors ligne ou dans un emplacement sécurisé et distant pour éviter qu'elles ne soient compromises lors d'une attaque.

Test des restaurations : si possible, testez périodiquement le processus de restauration pour confirmer que les sauvegardes fonctionnent correctement et que les données peuvent être récupérées.

Logiciel à jour :

Mises à jour du système d'exploitation : gardez le système d'exploitation ainsi que tout logiciel installé à jour avec les derniers correctifs.

Mises à jour automatiques : activez les mises à jour automatiques lorsque cela est possible pour garantir une application rapide des correctifs de sécurité.

Logiciel de sécurité puissant :

Anti-malware : installez un logiciel anti-malware réputé qui offre une protection en temps réel contre les menaces.

Protection par pare-feu : utilisez un pare-feu robuste pour bloquer les accès non autorisés à votre réseau et à vos systèmes.

Configuration sécurisée :

Restreindre l'accès RDP : désactivez le protocole RDP (Remote Desktop Protocol) si vous n'en avez pas besoin, ou sécurisez-le en utilisant des mots de passe forts, une authentification multifacteur (MFA) et en limitant l'accès via un réseau privé virtuel (VPN).

Principe du moindre privilège : appliquez le principe du moindre privilège en limitant les droits d'accès des utilisateurs au minimum nécessaire à leur rôle.

Sécurité du courrier électronique et Web :

Filtrage des e-mails : utilisez des solutions de filtrage des e-mails pour bloquer les e-mails de phishing et les pièces jointes malveillantes.

Filtrage Web : implémentez un filtrage Web pour restreindre l'accès aux sites Web malveillants connus et empêcher les téléchargements inopinés.

Éducation et sensibilisation des utilisateurs :

Programmes de formation : organisez régulièrement des sessions de formation pour informer les utilisateurs sur les dangers des logiciels malveillants et des ransomwares, notamment sur la manière de reconnaître les tentatives de phishing et d'éviter les pratiques dangereuses.

Attaques simulées : effectuez des attaques de phishing simulées pour tester et améliorer la sensibilisation des utilisateurs.

En intégrant ces mesures dans une stratégie de sécurité globale, les utilisateurs peuvent améliorer considérablement leurs défenses contre les logiciels malveillants et les ransomwares, réduisant ainsi le risque d'infection et l'impact de toute attaque potentielle.

Le texte intégral de la demande de rançon laissée par Lexus Ransomware est le suivant :

'Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:emily.florez@zohomail.com
In case of no answer in 24 hours write us to this e-mail:Barbara.li@gmx.com
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'