Dzen Ransomware är baserad på Phobos-kod

Dzen, en typ av ransomware associerad med Phobos-familjen, identifierades under vår analys av nya skadlig programvara. Denna variant krypterar filer och ändrar deras filnamn, samtidigt som den levererar två lösensedlar som heter "info.txt" och "info.hta." Varje krypterad fil är märkt med offrets ID, en e-postadress och tillägget ".dzen".

Till exempel ändras "1.jpg" till "1.jpg.id[9ECFA84E-3536].[vinsulan@tutamail.com].dzen" och "2.png" till "2.png.id[9ECFA84E- 3536].[vinsulan@tutamail.com].dzen," och så vidare.

Lösensedlarna informerar offren om krypteringen och anger att endast förövarnas programvara kan låsa upp uppgifterna. De avråder från alla försök till oberoende dekryptering eller användning av tredjepartsverktyg, varnar för permanent dataförlust.

Vidare avråder anteckningarna från att involvera mellanhand eller återställningstjänster, med hänvisning till potentiellt bedrägeri eller ytterligare datakompromettering. Brottslingarna lovar konfidentialitet och lovar att radera all nedladdad data vid lösenbetalning, för att säkerställa att offrets personliga information inte kommer att säljas eller utnyttjas för framtida attacker.

De inför dock en tvådagars deadline för att kontakta dem och hotar att dela uppgifterna med berörda parter om tidsfristen passerar. Kontaktuppgifter tillhandahålls via två e-postadresser (vinsulan@tutamail.com och vinsulan@cock.li), med instruktioner om att inkludera ett specifikt ID i e-postämnet.

Dzen Ransom Note hotar dataläckor

Den fullständiga texten i Dzen-lösennotan lyder som följer:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:vinsulan@tutamail.com
In case of no answer in 24 hours write us to this e-mail:vinsulan@cock.li
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Hur kan du skydda dina känsliga data mot ransomware-attacker?

Att skydda känslig data mot ransomware-attacker kräver ett omfattande tillvägagångssätt som kombinerar proaktiva åtgärder med reaktiva strategier. Här är några steg för att skydda dina känsliga uppgifter:

Regelbundna säkerhetskopieringar av data: Upprätthåll regelbundna säkerhetskopior av dina känsliga data på separata lagringsenheter eller molntjänster. Se till att dessa säkerhetskopior lagras offline eller i en säker miljö för att förhindra att de äventyras under en attack.

Uppdatera och korrigera system: Håll dina operativsystem, programvara och applikationer uppdaterade med de senaste säkerhetskorrigeringarna. Sårbarheter i föråldrad programvara kan utnyttjas av ransomware-angripare för att få tillgång till dina system.

Implementera säkerhetsprogramvara: Installera välrenommerade antivirus- och anti-malware-program på alla enheter och nätverk. Dessa verktyg kan hjälpa till att upptäcka och blockera ransomware-hot innan de kan infektera dina system.

Använd e-post- och webbfiltrering: Implementera e-post- och webbfiltreringslösningar för att blockera skadliga bilagor, länkar och webbplatser som vanligtvis används av distributörer av ransomware för att sprida skadlig programvara.

Utbilda anställda: Utbilda anställda i hur de känner igen nätfiske-e-postmeddelanden, misstänkta länkar och andra sociala tekniker som används av ransomware-angripare. Uppmuntra dem att vara försiktiga när de öppnar e-postbilagor eller klickar på länkar, särskilt från okända avsändare.

Begränsa användarbehörigheter: Begränsa användarbehörigheter till endast de nödvändiga behörigheterna som krävs för att utföra sina arbetsuppgifter. Detta kan hjälpa till att förhindra att ransomware sprids i sidled över ditt nätverk i händelse av en lyckad infiltration.

Nätverkssegmentering: Dela upp ditt nätverk i separata segment med begränsad åtkomstkontroll. Detta kan innehålla spridningen av ransomware och begränsa dess inverkan på kritiska system och data.

Aktivera tvåfaktorsautentisering (2FA): Implementera tvåfaktorsautentisering där det är möjligt för att lägga till ett extra lager av säkerhet till dina konton och system. Detta kan hjälpa till att förhindra obehörig åtkomst även om inloggningsuppgifterna äventyras.