Dzen Ransomware opiera się na kodzie Phobos

Podczas naszej analizy nowych próbek szkodliwego oprogramowania zidentyfikowaliśmy Dzen, rodzaj oprogramowania ransomware powiązanego z rodziną Phobos. Wariant ten szyfruje pliki i zmienia ich nazwy, dostarczając jednocześnie dwie notatki z żądaniem okupu o nazwach „info.txt” i „info.hta”. Każdy zaszyfrowany plik jest oznaczony identyfikatorem ofiary, adresem e-mail i rozszerzeniem „.dzen”.

Na przykład zmienia „1.jpg” na „1.jpg.id[9ECFA84E-3536].[vinsulan@tutamail.com].dzen” i „2.png” na „2.png.id[9ECFA84E- 3536].[vinsulan@tutamail.com].dzen” i tak dalej.

Notatki z żądaniem okupu informują ofiary o szyfrowaniu i stwierdzają, że tylko oprogramowanie sprawców może odblokować dane. Odradzają wszelkie próby samodzielnego odszyfrowania lub korzystania z narzędzi firm trzecich, ostrzegając o trwałej utracie danych.

Ponadto w uwagach odradza się angażowanie usług pośrednictwa lub odzyskiwania danych, powołując się na potencjalne oszustwo lub dalsze naruszenie bezpieczeństwa danych. Przestępcy zobowiązują się do zachowania poufności i obiecują usunąć wszystkie pobrane dane po zapłaceniu okupu, zapewniając, że dane osobowe ofiary nie zostaną sprzedane ani wykorzystane do przyszłych ataków.

Narzucają jednak dwudniowy termin na skontaktowanie się z nimi, grożąc udostępnieniem danych zainteresowanym w przypadku upływu terminu. Dane kontaktowe podawane są za pośrednictwem dwóch adresów e-mail (vinsulan@tutamail.com i vinsulan@cock.li), z instrukcją dotyczącą podania konkretnego identyfikatora w temacie wiadomości e-mail.

Dzen z żądaniem okupu grozi wyciekiem danych

Pełny tekst żądania okupu Dzen brzmi następująco:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:vinsulan@tutamail.com
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Jak chronić swoje wrażliwe dane przed atakami ransomware?

Ochrona wrażliwych danych przed atakami ransomware wymaga kompleksowego podejścia, które łączy środki proaktywne ze strategiami reaktywnymi. Oto kilka kroków, które pozwolą chronić Twoje wrażliwe dane:

Regularne kopie zapasowe danych: twórz regularne kopie zapasowe poufnych danych na oddzielnych urządzeniach pamięci masowej lub w usługach w chmurze. Upewnij się, że te kopie zapasowe są przechowywane w trybie offline lub w bezpiecznym środowisku, aby zapobiec ich naruszeniu podczas ataku.

Aktualizuj i łataj systemy: Aktualizuj swoje systemy operacyjne, oprogramowanie i aplikacje, korzystając z najnowszych poprawek zabezpieczeń. Luki w nieaktualnym oprogramowaniu mogą zostać wykorzystane przez osoby atakujące oprogramowanie ransomware w celu uzyskania dostępu do Twoich systemów.

Wdróż oprogramowanie zabezpieczające: zainstaluj renomowane oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem na wszystkich urządzeniach i sieciach. Narzędzia te mogą pomóc w wykrywaniu i blokowaniu zagrożeń oprogramowaniem ransomware, zanim zdążą zainfekować Twoje systemy.

Używaj filtrowania poczty e-mail i sieci Web: wdrażaj rozwiązania do filtrowania poczty e-mail i sieci, aby blokować złośliwe załączniki, łącza i strony internetowe powszechnie wykorzystywane przez dystrybutorów oprogramowania ransomware do rozprzestrzeniania złośliwego oprogramowania.

Edukuj pracowników: przeszkol pracowników w zakresie rozpoznawania wiadomości e-mail typu phishing, podejrzanych łączy i innych taktyk inżynierii społecznej stosowanych przez osoby atakujące oprogramowanie ransomware. Zachęć ich, aby zachowali ostrożność podczas otwierania załączników do wiadomości e-mail lub klikania łączy, szczególnie od nieznanych nadawców.

Ogranicz uprawnienia użytkowników: Ogranicz uprawnienia użytkownika tylko do niezbędnych uprawnień wymaganych do wykonywania jego obowiązków służbowych. Może to pomóc w zapobieganiu bocznemu rozprzestrzenianiu się oprogramowania ransomware w sieci w przypadku udanej infiltracji.

Segmentacja sieci: Podziel swoją sieć na osobne segmenty z ograniczoną kontrolą dostępu. Może to powstrzymać rozprzestrzenianie się oprogramowania ransomware i ograniczyć jego wpływ na krytyczne systemy i dane.

Włącz uwierzytelnianie dwuskładnikowe (2FA): W miarę możliwości wdrażaj uwierzytelnianie dwuskładnikowe, aby dodać dodatkową warstwę zabezpieczeń do swoich kont i systemów. Może to pomóc w zapobieganiu nieautoryzowanemu dostępowi, nawet jeśli dane logowania zostaną naruszone.