Dzen Ransomware è basato sul codice Phobos

Dzen, un tipo di ransomware associato alla famiglia Phobos, è stato identificato durante la nostra analisi di nuovi campioni di malware. Questa variante crittografa i file e ne altera i nomi, fornendo allo stesso tempo due richieste di riscatto denominate "info.txt" e "info.hta". Ogni file crittografato è contrassegnato con l'ID della vittima, un indirizzo email e l'estensione ".dzen".

Ad esempio, cambia "1.jpg" in "1.jpg.id[9ECFA84E-3536].[vinsulan@tutamail.com].dzen" e "2.png" in "2.png.id[9ECFA84E- 3536].[vinsulan@tutamail.com].dzen," e così via.

Le richieste di riscatto informano le vittime della crittografia e affermano che solo il software degli autori del reato può sbloccare i dati. Scoraggiano qualsiasi tentativo di decrittazione indipendente o l'uso di strumenti di terze parti, avvertendo della perdita permanente dei dati.

Inoltre, le note sconsigliano di coinvolgere intermediari o servizi di recupero, citando potenziali inganni o ulteriori compromissioni dei dati. I criminali garantiscono la riservatezza e promettono di eliminare tutti i dati scaricati previo pagamento del riscatto, assicurando che le informazioni personali della vittima non verranno vendute o sfruttate per attacchi futuri.

Impongono però un termine di due giorni per contattarli, minacciando di condividere i dati con gli interessati se il termine scade. I dettagli di contatto vengono forniti tramite due indirizzi e-mail (vinsulan@tutamail.com e vinsulan@cock.li), con le istruzioni per includere un ID specifico nell'oggetto dell'e-mail.

La richiesta di riscatto di Dzen minaccia fughe di dati

Il testo completo della richiesta di riscatto di Dzen recita come segue:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:vinsulan@tutamail.com
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Come puoi proteggere i tuoi dati sensibili dagli attacchi ransomware?

La protezione dei dati sensibili dagli attacchi ransomware richiede un approccio globale che combini misure proattive con strategie reattive. Ecco alcuni passaggi per salvaguardare i tuoi dati sensibili:

Backup regolari dei dati: mantieni backup regolari dei tuoi dati sensibili su dispositivi di archiviazione separati o servizi cloud. Assicurati che questi backup siano archiviati offline o in un ambiente sicuro per evitare che vengano compromessi durante un attacco.

Sistemi di aggiornamento e patch: mantieni aggiornati i tuoi sistemi operativi, software e applicazioni con le ultime patch di sicurezza. Le vulnerabilità del software obsoleto possono essere sfruttate dagli aggressori ransomware per ottenere l'accesso ai tuoi sistemi.

Implementa software di sicurezza: installa software antivirus e antimalware affidabili su tutti i dispositivi e le reti. Questi strumenti possono aiutare a rilevare e bloccare le minacce ransomware prima che possano infettare i tuoi sistemi.

Utilizza il filtro e-mail e Web: implementa soluzioni di filtro e-mail e Web per bloccare allegati, collegamenti e siti Web dannosi comunemente utilizzati dai distributori di ransomware per diffondere malware.

Educare i dipendenti: formare i dipendenti su come riconoscere e-mail di phishing, collegamenti sospetti e altre tattiche di ingegneria sociale utilizzate dagli aggressori di ransomware. Incoraggiali a prestare attenzione quando aprono allegati di posta elettronica o fanno clic su collegamenti, soprattutto da mittenti sconosciuti.

Limita privilegi utente: limita i privilegi utente solo alle autorizzazioni necessarie per svolgere le proprie mansioni lavorative. Ciò può aiutare a prevenire la diffusione laterale del ransomware nella rete in caso di infiltrazione riuscita.

Segmentazione della rete: dividi la tua rete in segmenti separati con controlli di accesso limitati. Ciò può contenere la diffusione del ransomware e limitarne l’impatto su sistemi e dati critici.

Abilita l'autenticazione a due fattori (2FA): implementa l'autenticazione a due fattori ove possibile per aggiungere un ulteriore livello di sicurezza ai tuoi account e sistemi. Ciò può aiutare a prevenire l'accesso non autorizzato anche se le credenziali di accesso sono compromesse.