Dzen Ransomware is gebaseerd op Phobos-code

Dzen, een type ransomware geassocieerd met de Phobos-familie, werd geïdentificeerd tijdens onze analyse van nieuwe malwaremonsters. Deze variant versleutelt bestanden en wijzigt hun bestandsnamen, terwijl er ook twee losgeldbriefjes worden afgeleverd met de namen "info.txt" en "info.hta". Elk gecodeerd bestand is gemarkeerd met de ID van het slachtoffer, een e-mailadres en de extensie ".dzen".

Het verandert bijvoorbeeld "1.jpg" in "1.jpg.id[9ECFA84E-3536].[vinsulan@tutamail.com].dzen" en "2.png" in "2.png.id[9ECFA84E- 3536].[vinsulan@tutamail.com].dzen", enzovoort.

De losgeldbriefjes informeren de slachtoffers over de versleuteling en stellen dat alleen de software van de daders de gegevens kan ontsluiten. Ze ontmoedigen elke poging tot onafhankelijke decodering of het gebruik van tools van derden en waarschuwen voor permanent gegevensverlies.

Bovendien wordt in de aantekeningen afgeraden om tussenpersonen of hersteldiensten in te schakelen, waarbij mogelijke misleiding of verdere gegevenscompromis wordt aangehaald. De criminelen beloven vertrouwelijkheid en beloven alle gedownloade gegevens te verwijderen na betaling van losgeld, zodat de persoonlijke gegevens van het slachtoffer niet worden verkocht of misbruikt voor toekomstige aanvallen.

Ze leggen echter een termijn van twee dagen op om contact met hen op te nemen en dreigen de gegevens met geïnteresseerde partijen te delen als de deadline verstrijkt. Contactgegevens worden verstrekt via twee e-mailadressen (vinsulan@tutamail.com en vinsulan@cock.li), met instructies om een specifieke ID in het e-mailonderwerp op te nemen.

Dzen Ransom Note bedreigt gegevenslekken

De volledige tekst van het Dzen-losgeldbriefje luidt als volgt:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:vinsulan@tutamail.com
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hoe kunt u uw gevoelige gegevens beschermen tegen ransomware-aanvallen?

Het beschermen van gevoelige gegevens tegen ransomware-aanvallen vereist een alomvattende aanpak die proactieve maatregelen combineert met reactieve strategieën. Hier zijn enkele stappen om uw gevoelige gegevens te beschermen:

Regelmatige gegevensback-ups: maak regelmatig back-ups van uw gevoelige gegevens op afzonderlijke opslagapparaten of cloudservices. Zorg ervoor dat deze back-ups offline of in een veilige omgeving worden opgeslagen om te voorkomen dat ze tijdens een aanval worden aangetast.

Update en patch systemen: Houd uw besturingssystemen, software en applicaties up-to-date met de nieuwste beveiligingspatches. Kwetsbaarheden in verouderde software kunnen door ransomware-aanvallers worden uitgebuit om toegang te krijgen tot uw systemen.

Implementeer beveiligingssoftware: installeer gerenommeerde antivirus- en antimalwaresoftware op alle apparaten en netwerken. Deze tools kunnen ransomware-bedreigingen helpen detecteren en blokkeren voordat ze uw systemen kunnen infecteren.

Gebruik e-mail- en webfilters: Implementeer e-mail- en webfilteroplossingen om kwaadaardige bijlagen, links en websites te blokkeren die vaak worden gebruikt door ransomware-distributeurs om malware te verspreiden.

Werknemers opleiden: Train werknemers in het herkennen van phishing-e-mails, verdachte links en andere social engineering-tactieken die door ransomware-aanvallers worden gebruikt. Moedig hen aan voorzichtig te zijn bij het openen van e-mailbijlagen of het klikken op links, vooral van onbekende afzenders.

Beperk gebruikersrechten: Beperk gebruikersrechten tot alleen de noodzakelijke machtigingen die nodig zijn om hun taken uit te voeren. Dit kan helpen voorkomen dat ransomware zich lateraal over uw netwerk verspreidt in het geval van een succesvolle infiltratie.

Netwerksegmentatie: Verdeel uw netwerk in afzonderlijke segmenten met beperkte toegangscontroles. Dit kan de verspreiding van ransomware beperken en de impact ervan op kritieke systemen en gegevens beperken.

Schakel tweefactorauthenticatie (2FA) in: Implementeer waar mogelijk tweefactorauthenticatie om een extra beveiligingslaag toe te voegen aan uw accounts en systemen. Dit kan ongeautoriseerde toegang helpen voorkomen, zelfs als de inloggegevens in gevaar komen.