Dzen Ransomware er baseret på Phobos-kode

Dzen, en type ransomware forbundet med Phobos-familien, blev identificeret under vores analyse af nye malware-prøver. Denne variant krypterer filer og ændrer deres filnavne, mens den også leverer to løsesumsedler ved navn "info.txt" og "info.hta." Hver krypteret fil er markeret med offerets ID, en e-mailadresse og ".dzen"-udvidelsen.

For eksempel ændres "1.jpg" til "1.jpg.id[9ECFA84E-3536].[vinsulan@tutamail.com].dzen," og "2.png" til "2.png.id[9ECFA84E- 3536].[vinsulan@tutamail.com].dzen," og så videre.

Løsesedlerne informerer ofrene om krypteringen og oplyser, at kun gerningsmændenes software kan låse dataene op. De fraråder ethvert forsøg på uafhængig dekryptering eller brug af tredjepartsværktøjer og advarer om permanent datatab.

Desuden fraråder noterne at involvere formidlere eller gendannelsestjenester med henvisning til potentielt bedrag eller yderligere kompromittering af data. De kriminelle lover fortrolighed og lover at slette alle downloadede data ved løsesumsbetaling, for at sikre, at ofrets personlige oplysninger ikke vil blive solgt eller udnyttet til fremtidige angreb.

De pålægger dog en to-dages frist for at kontakte dem og truer med at dele dataene med interesserede parter, hvis fristen overskrides. Kontaktoplysninger gives via to e-mailadresser (vinsulan@tutamail.com og vinsulan@cock.li), med instruktioner om at inkludere et specifikt ID i e-mailens emne.

Dzen Ransom Note truer med datalækage

Den fulde tekst af Dzen løsesumsedlen lyder som følger:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:vinsulan@tutamail.com
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hvordan kan du beskytte dine følsomme data mod ransomware-angreb?

Beskyttelse af følsomme data mod ransomware-angreb kræver en omfattende tilgang, der kombinerer proaktive foranstaltninger med reaktive strategier. Her er nogle trin til at beskytte dine følsomme data:

Regelmæssige sikkerhedskopier af data: Oprethold regelmæssige sikkerhedskopier af dine følsomme data på separate lagerenheder eller cloud-tjenester. Sørg for, at disse sikkerhedskopier er gemt offline eller i et sikkert miljø for at forhindre, at de bliver kompromitteret under et angreb.

Opdaterings- og patchsystemer: Hold dine operativsystemer, software og applikationer opdateret med de nyeste sikkerhedsrettelser. Sårbarheder i forældet software kan udnyttes af ransomware-angribere til at få adgang til dine systemer.

Implementer sikkerhedssoftware: Installer velrenommeret antivirus- og anti-malware-software på alle enheder og netværk. Disse værktøjer kan hjælpe med at opdage og blokere ransomware-trusler, før de kan inficere dine systemer.

Brug e-mail- og webfiltrering: Implementer e-mail- og webfiltreringsløsninger for at blokere ondsindede vedhæftede filer, links og websteder, der almindeligvis bruges af ransomware-distributører til at sprede malware.

Uddan medarbejdere: Træn medarbejderne i, hvordan de genkender phishing-e-mails, mistænkelige links og andre social engineering-taktikker, der bruges af ransomware-angribere. Tilskynd dem til at udvise forsigtighed, når de åbner vedhæftede filer i e-mails eller klikker på links, især fra ukendte afsendere.

Begræns brugerrettigheder: Begræns brugerrettigheder til kun de nødvendige tilladelser, der kræves for at udføre deres jobopgaver. Dette kan hjælpe med at forhindre ransomware i at spredes sideværts på tværs af dit netværk i tilfælde af en vellykket infiltration.

Netværkssegmentering: Opdel dit netværk i separate segmenter med begrænset adgangskontrol. Dette kan indeholde spredningen af ransomware og begrænse dets indvirkning på kritiske systemer og data.

Aktiver to-faktor-godkendelse (2FA): Implementer to-faktor-godkendelse, hvor det er muligt, for at tilføje et ekstra lag af sikkerhed til dine konti og systemer. Dette kan hjælpe med at forhindre uautoriseret adgang, selvom login-legitimationsoplysningerne er kompromitteret.