Dzen Ransomware yra pagrįsta Phobos kodu

Dzen, išpirkos reikalaujančios programinės įrangos tipas, susijęs su Phobos šeima, buvo nustatytas analizuojant naujus kenkėjiškų programų pavyzdžius. Šis variantas užšifruoja failus ir pakeičia jų pavadinimus, taip pat pateikia du išpirkos užrašus, pavadintus „info.txt“ ir „info.hta“. Kiekvienas užšifruotas failas yra pažymėtas aukos ID, el. pašto adresu ir plėtiniu „.dzen“.

Pavyzdžiui, „1.jpg“ pakeičiama į „1.jpg.id[9ECFA84E-3536].[vinsulan@tutamail.com].dzen“ ir „2.png“ į „2.png.id[9ECFA84E- 3536].[vinsulan@tutamail.com].dzen“ ir pan.

Išpirkos raštuose informuojamos aukos apie šifravimą ir nurodoma, kad duomenis atrakinti gali tik nusikaltėlių programinė įranga. Jie neskatina bet kokių bandymų savarankiškai iššifruoti arba naudoti trečiųjų šalių įrankius, įspėdami apie nuolatinį duomenų praradimą.

Be to, pastabose patariama neįtraukti tarpininkų ar atkūrimo paslaugų, nurodant galimą apgaulę ar tolesnį duomenų sugadinimą. Nusikaltėliai įsipareigoja laikytis konfidencialumo ir žada ištrinti visus atsisiųstus duomenis sumokėjus išpirką, užtikrindami, kad aukos asmeninė informacija nebus parduota ar panaudota būsimoms atakoms.

Tačiau jie nustato dviejų dienų terminą susisiekti su jais ir grasina, kad jei terminas praeis, pasidalins duomenimis su suinteresuotomis šalimis. Kontaktiniai duomenys pateikiami dviem el. pašto adresais (vinsulan@tutamail.com ir vinsulan@cock.li), nurodant, kaip į el. laiško temą įtraukti konkretų ID.

Dzen Ransom Note gresia duomenų nutekėjimu

Visas Dzen išpirkos rašto tekstas skamba taip:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:vinsulan@tutamail.com
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Kaip galite apsaugoti savo jautrius duomenis nuo Ransomware atakų?

Norint apsaugoti neskelbtinus duomenis nuo išpirkos reikalaujančių programų atakų, reikia visapusiško požiūrio, kuris derintų aktyvias priemones su reaktyviomis strategijomis. Štai keli žingsniai, kaip apsaugoti jūsų neskelbtinus duomenis:

Įprastos duomenų atsarginės kopijos: reguliariai kurkite slaptų duomenų atsargines kopijas atskiruose saugojimo įrenginiuose arba debesies paslaugose. Užtikrinkite, kad šios atsarginės kopijos būtų saugomos neprisijungus arba saugioje aplinkoje, kad jos nebūtų pažeistos atakos metu.

Atnaujinkite ir pataisykite sistemas: atnaujinkite operacines sistemas, programinę įrangą ir programas naudodami naujausius saugos pataisymus. Išpirkos reikalaujantys užpuolikai gali išnaudoti pasenusios programinės įrangos spragas, kad gautų prieigą prie jūsų sistemų.

Įdiekite saugos programinę įrangą: visuose įrenginiuose ir tinkluose įdiekite patikimą antivirusinę ir kenkėjiškų programų programinę įrangą. Šie įrankiai gali padėti aptikti ir blokuoti išpirkos reikalaujančias programinės įrangos grėsmes prieš joms užkrečiant jūsų sistemas.

Naudokite el. pašto ir žiniatinklio filtravimą: įdiekite el. pašto ir žiniatinklio filtravimo sprendimus, kad blokuotumėte kenkėjiškus priedus, nuorodas ir svetaines, kurias dažniausiai naudoja išpirkos reikalaujančių programų platintojai, norėdami platinti kenkėjiškas programas.

Mokykite darbuotojus: mokykite darbuotojus, kaip atpažinti sukčiavimo el. laiškus, įtartinas nuorodas ir kitas socialinės inžinerijos taktikas, kurias naudoja išpirkos programinės įrangos užpuolikai. Skatinkite juos būti atsargiems atidarant el. laiškų priedus arba spustelėjus nuorodas, ypač iš nežinomų siuntėjų.

Apriboti vartotojo teises: apribokite vartotojo teises tik būtiniems leidimams, reikalingiems jų darbo pareigoms atlikti. Sėkmingo įsiskverbimo atveju tai gali padėti išvengti išpirkos reikalaujančių programų išplitimo į šoną jūsų tinkle.

Tinklo segmentavimas: padalinkite tinklą į atskirus segmentus su apribotais prieigos valdikliais. Tai gali sustabdyti išpirkos reikalaujančių programų plitimą ir apriboti jos poveikį svarbiausioms sistemoms ir duomenims.

Įgalinti dviejų faktorių autentifikavimą (2FA): kur tik įmanoma, įdiekite dviejų veiksnių autentifikavimą, kad paskyroms ir sistemoms būtų suteiktas papildomas saugumo lygis. Tai gali padėti išvengti neteisėtos prieigos, net jei prisijungimo duomenys yra pažeisti.