Ransomware Dxen

Les chercheurs d'Infosec ont récemment découvert une nouvelle menace de ransomware connue sous le nom de Dxen. Ce type de malware fonctionne en cryptant les fichiers sur un appareil infecté, puis en exigeant un paiement de la victime pour le décryptage. Après avoir réussi à infiltrer un appareil, Dxen lance le processus de cryptage, modifiant les noms des fichiers stockés sur le système. Les noms de fichiers modifiés incluent :

• Un identifiant unique est attribué à la victime.
• L'adresse e-mail des attaquants.
• Une extension '.dxen'.

Par exemple, un fichier initialement nommé « 1.jpg » peut être transformé en « 1.jpg.id[9ECFA74E-3536].[vinsulan@tutanota.com].dxen.

Une fois le processus de cryptage terminé, Dxen génère des notes de rançon présentées aux victimes via une fenêtre contextuelle (« info.hta ») et un fichier texte (« info.txt »). Ces fichiers sont stratégiquement placés dans tous les répertoires cryptés et sur le bureau pour garantir la visibilité à l'utilisateur concerné. Notamment, Dxen a été confirmé comme une variante provenant de la famille Phobos Ransomware , indiquant un lien avec cette souche particulière de logiciel menaçant.

Le ransomware Dxen cherche à extorquer de l'argent à ses victimes

Le fichier texte généré par le ransomware Dxen communique à la victime que ses données ont été cryptées et l'incite à établir un contact avec les attaquants pour faciliter le processus de décryptage. En plus de cela, la fenêtre contextuelle qui l'accompagne offre plus de détails sur l'infection par le ransomware, précisant que le processus de décryptage nécessite le paiement d'une rançon en crypto-monnaie Bitcoin. Bien que le montant exact de la rançon ne soit pas précisé, il dépendrait de la rapidité avec laquelle la victime prend contact. Notamment, avant de s’engager dans le paiement de la rançon, la victime a la possibilité de tester le processus de décryptage sur jusqu’à cinq fichiers sans aucun frais.

La demande de rançon se termine par des avertissements adressés à la victime. Plus précisément, il déconseille de renommer les fichiers cryptés ou de tenter d'utiliser un logiciel de décryptage tiers, car de telles actions pourraient potentiellement entraîner une perte permanente de données. Ces détails soulignent les tactiques coercitives employées par Dxen Ransomware, soulignant les risques financiers et opérationnels auxquels sont confrontées les victimes qui peuvent être obligées de dialoguer avec les attaquants afin de retrouver l'accès à leurs données cryptées.

Le Dxen Ransomware arrête plusieurs options de récupération

Dxen, en tant que membre de la famille Phobos Ransomware, partage des caractéristiques avec d'autres programmes de ce groupe, ciblant principalement les fichiers locaux et partagés sur le réseau pour le cryptage. Notamment, les appareils infectés restent opérationnels, car les fichiers système critiques sont intentionnellement épargnés par le processus de cryptage. Pour éviter les exceptions dues aux fichiers considérés comme « en cours d'utilisation », Dxen met fin aux processus associés aux fichiers ouverts, tels que les programmes de base de données et les lecteurs de fichiers texte.

Pour éviter le double cryptage des fichiers précédemment compromis, les programmes Phobos Ransomware maintiennent une liste de types de ransomwares. Toutefois, cette stratégie n’est pas infaillible, car elle n’englobe pas tous les logiciels malveillants de cryptage de données existants. De plus, ces programmes ransomware prennent des mesures pour éliminer la possibilité de récupération de fichiers en effaçant les clichés instantanés de volumes.

La persistance est assurée par le malware Phobos grâce à l'auto-réplication vers le chemin %LOCALAPPDATA% et à l'enregistrement avec des clés d'exécution spécifiques. Par conséquent, le ransomware démarre automatiquement après chaque redémarrage du système, garantissant ainsi une présence constante sur l'appareil infecté.

De plus, Phobos Ransomware présente une capacité inquiétante en collectant des données de géolocalisation, permettant aux attaquants d'évaluer la viabilité de poursuivre l'infection. La motivation derrière ces attaques peut être influencée par des facteurs géopolitiques, la puissance économique de la région ou d’autres considérations stratégiques, soulignant la nature multiforme de la menace posée par les ransomwares au sein de la famille Phobos.

Ne suivez pas les instructions laissées par les cybercriminels

Les chercheurs en sécurité soulignent que le décryptage des données cryptées par les menaces de ransomwares est généralement une tâche complexe sans l’implication des cybercriminels. De plus, même lorsque les victimes accèdent aux demandes de rançon, elles ne reçoivent souvent pas les outils de décryptage promis. Par conséquent, les experts mettent fortement en garde contre le paiement de rançons, car non seulement cela ne garantit pas la récupération des données, mais perpétue et soutient également des activités illégales.

Pour mettre fin au cryptage de données supplémentaires par un ransomware, le logiciel dangereux doit être complètement éradiqué du système d'exploitation. Cependant, il est crucial de noter que la suppression du ransomware lui-même ne restaure pas automatiquement les fichiers cryptés. La seule solution applicable consiste à récupérer les fichiers à partir d'une sauvegarde créée précédemment, à condition qu'elle existe et soit stockée dans un emplacement distinct.

Pour améliorer la sécurité globale des données, les experts recommandent d'adopter une approche proactive en conservant des sauvegardes dans plusieurs emplacements distincts. Cela peut inclure des serveurs distants, des périphériques de stockage débranchés et d'autres supports sécurisés, garantissant que la récupération des données reste une option réalisable en cas d'attaque de ransomware. Cette stratégie globale permet d'atténuer les risques associés aux ransomwares et souligne l'importance d'un système de sauvegarde robuste pour protéger les données précieuses.

La principale demande de rançon délivrée aux victimes du Dnex Ransomware est la suivante :

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail vinsulan@tutanota.com
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Les fichiers texte générés par Dnex Ransomware contiennent le message suivant :

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: vinsulan@tutanota.com.
If we don't answer in 24h., send e-mail to this address: vinsulan@cock.li'