Dzen Ransomware se basa en el código Phobos

Dzen, un tipo de ransomware asociado con la familia Phobos, fue identificado durante nuestro análisis de nuevas muestras de malware. Esta variante cifra archivos y altera sus nombres, al mismo tiempo que entrega dos notas de rescate llamadas "info.txt" e "info.hta". Cada archivo cifrado está marcado con el ID de la víctima, una dirección de correo electrónico y la extensión ".dzen".

Por ejemplo, cambia "1.jpg" a "1.jpg.id[9ECFA84E-3536].[vinsulan@tutamail.com].dzen" y "2.png" a "2.png.id[9ECFA84E- 3536].[vinsulan@tutamail.com].dzen", y así sucesivamente.

Las notas de rescate informan a las víctimas sobre el cifrado y afirman que sólo el software de los perpetradores puede desbloquear los datos. Desalientan cualquier intento de descifrado independiente o el uso de herramientas de terceros, advirtiendo sobre la pérdida permanente de datos.

Además, las notas desaconsejan la participación de servicios intermediarios o de recuperación, citando un posible engaño o mayor compromiso de los datos. Los delincuentes prometen confidencialidad y prometen eliminar todos los datos descargados tras el pago del rescate, asegurando que la información personal de la víctima no será vendida ni explotada para futuros ataques.

Sin embargo, imponen un plazo de dos días para contactar con ellos, amenazando con compartir los datos con los interesados si se supera el plazo. Los datos de contacto se proporcionan a través de dos direcciones de correo electrónico (vinsulan@tutamail.com y vinsulan@cock.li), con instrucciones para incluir una identificación específica en el asunto del correo electrónico.

La nota de rescate de Dzen amenaza con la filtración de datos

El texto completo de la nota de rescate de Dzen dice lo siguiente:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:vinsulan@tutamail.com
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

¿Cómo puede proteger sus datos confidenciales contra ataques de ransomware?

La protección de datos confidenciales contra ataques de ransomware requiere un enfoque integral que combine medidas proactivas con estrategias reactivas. A continuación se detallan algunos pasos para proteger sus datos confidenciales:

Copias de seguridad de datos periódicas: mantenga copias de seguridad periódicas de sus datos confidenciales en dispositivos de almacenamiento separados o servicios en la nube. Asegúrese de que estas copias de seguridad se almacenen fuera de línea o en un entorno seguro para evitar que se vean comprometidas durante un ataque.

Sistemas de actualización y parches: mantenga sus sistemas operativos, software y aplicaciones actualizados con los últimos parches de seguridad. Los atacantes de ransomware pueden aprovechar las vulnerabilidades del software obsoleto para obtener acceso a sus sistemas.

Implemente software de seguridad: instale software antivirus y antimalware confiable en todos los dispositivos y redes. Estas herramientas pueden ayudar a detectar y bloquear amenazas de ransomware antes de que puedan infectar sus sistemas.

Utilice filtrado web y de correo electrónico: implemente soluciones de filtrado web y de correo electrónico para bloquear archivos adjuntos, enlaces y sitios web maliciosos que suelen utilizar los distribuidores de ransomware para difundir malware.

Educar a los empleados: capacitar a los empleados sobre cómo reconocer correos electrónicos de phishing, enlaces sospechosos y otras tácticas de ingeniería social utilizadas por los atacantes de ransomware. Anímelos a tener cuidado al abrir archivos adjuntos de correo electrónico o hacer clic en enlaces, especialmente de remitentes desconocidos.

Limitar los privilegios del usuario: restrinja los privilegios del usuario solo a los permisos necesarios para realizar sus tareas laborales. Esto puede ayudar a evitar que el ransomware se propague lateralmente por su red en caso de una infiltración exitosa.

Segmentación de red: divida su red en segmentos separados con controles de acceso restringido. Esto puede contener la propagación del ransomware y limitar su impacto en los sistemas y datos críticos.

Habilite la autenticación de dos factores (2FA): implemente la autenticación de dos factores siempre que sea posible para agregar una capa adicional de seguridad a sus cuentas y sistemas. Esto puede ayudar a evitar el acceso no autorizado incluso si las credenciales de inicio de sesión están comprometidas.