Το ZENEX Ransomware θα κρυπτογραφεί συστήματα θυμάτων

Κατά την εξέταση νέων δειγμάτων κακόβουλων αρχείων, εντοπίσαμε το ZENEX ως ransomware που σχετίζεται με την οικογένεια Proton. Το ZENEX έχει σχεδιαστεί για να κρυπτογραφεί αρχεία, να αλλάζει τα ονόματα αρχείων των κρυπτογραφημένων αρχείων, να εμφανίζει μια σημείωση λύτρων με τίτλο "#Zenex-Help.txt" και να τροποποιεί την ταπετσαρία της επιφάνειας εργασίας.

Το ZENEX τροποποιεί τα ονόματα αρχείων προσθέτοντας τη διεύθυνση email decrypthelp0@gmail.com και προσθέτοντας την επέκταση ".ZENEX". Για παράδειγμα, μετατρέπει το "1.jpg" σε "1.jpg.[decrypthelp0@gmail.com].ZENEX" και το "2.png" γίνεται "2.png.[decrypthelp0@gmail.com].ZENEX." και ούτω καθεξής.

Το σημείωμα λύτρων ειδοποιεί το θύμα ότι τα αρχεία του έχουν κρυπτογραφηθεί και ληφθεί, χωρίς δυνατότητα ανάκτησης χωρίς τη χρήση της υπηρεσίας αποκρυπτογράφησης που προσφέρουν οι εισβολείς. Το σημείωμα υπογραμμίζει το οικονομικό κίνητρο πίσω από την επίθεση, υποσχόμενο λογισμικό αποκρυπτογράφησης και διαγραφή δεδομένων κατά την πληρωμή. Για να εμφυσήσουν εμπιστοσύνη, οι εισβολείς παρέχουν μια εγγύηση αποκρυπτογραφώντας ένα μικρό αρχείο ως απόδειξη της ικανότητάς τους.

Τα στοιχεία επικοινωνίας παρέχονται μέσω διευθύνσεων ηλεκτρονικού ταχυδρομείου (decrypthelp0@gmail.com και cryptblack@mailfence.com), συνοδευόμενα από προειδοποίηση κατά της αναζήτησης βοήθειας από εταιρείες ανάκτησης, τις οποίες οι εισβολείς ισχυρίζονται ότι είναι αναξιόπιστοι μεσάζοντες. Τονίζεται το επείγον, ενθαρρύνοντας την έγκαιρη πληρωμή για την εξασφάλιση χαμηλότερης τιμής και εκδίδεται προειδοποίηση κατά της παραβίασης κρυπτογραφημένων αρχείων για να αποφευχθεί η περίπλοκη της διαδικασίας αποκρυπτογράφησης.

Το ZENEX Ransom Note χρησιμοποιεί το πρότυπο Proton

Το πλήρες κείμενο του σημειώματος για τα λύτρα της ZENEX έχει ως εξής:

ZENEX
What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

How to contact us?
Our email address: decrypthelp0@gmail.com
In case of no answer within 24 hours, contact to this email: cryptblack@mailfence.com
Write your personal ID in the subject of the email.

Your personal ID: -

Προειδοποιήσεις!

Μην πηγαίνετε σε εταιρείες ανάκτησης, είναι απλώς μεσάζοντες που θα βγάλουν χρήματα από εσάς και θα σας εξαπατήσουν.
Διαπραγματεύονται κρυφά μαζί μας, αγοράζουν λογισμικό αποκρυπτογράφησης και θα σας το πουλήσουν πολλές φορές πιο ακριβά ή απλά θα σας εξαπατήσουν.

Μη διστάσετε για πολύ. Όσο πιο γρήγορα πληρώνετε, τόσο χαμηλότερη είναι η τιμή.

Μην διαγράφετε ή τροποποιείτε κρυπτογραφημένα αρχεία, θα οδηγήσει σε προβλήματα με την αποκρυπτογράφηση των αρχείων.

Πώς μπορεί το Ransomware όπως το ZENEZ να μολύνει το σύστημά σας;

Το Ransomware όπως το ZENEZ μπορεί να μολύνει το σύστημά σας μέσω διαφόρων μεθόδων και η κατανόηση αυτών των σημείων εισόδου είναι ζωτικής σημασίας για την εφαρμογή αποτελεσματικών μέτρων κυβερνοασφάλειας. Ακολουθούν συνήθεις τρόποι με τους οποίους το ransomware μπορεί να διεισδύσει σε ένα σύστημα:

Email ηλεκτρονικού ψαρέματος:
Μία από τις πιο κοινές μεθόδους είναι μέσω email ηλεκτρονικού ψαρέματος. Οι εισβολείς ενδέχεται να στέλνουν email που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Μόλις ο χρήστης ανοίξει το συνημμένο ή κάνει κλικ στον σύνδεσμο, το ransomware εκτελείται.

Κακόβουλοι ιστότοποι:
Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί να εκθέσει το σύστημά σας σε λήψεις χωρίς καθυστέρηση. Αυτές οι λήψεις ενδέχεται να εγκαταστήσουν αθόρυβα ransomware στον υπολογιστή σας χωρίς να το γνωρίζετε.

Κακή διαφήμιση:
Κακόβουλες διαφημίσεις ή κακόβουλες διαφημίσεις σε νόμιμους ιστότοπους μπορεί να οδηγήσουν σε μολύνσεις από ransomware. Κάνοντας κλικ σε αυτές τις διαφημίσεις μπορεί να ενεργοποιηθεί η λήψη και η εκτέλεση του ransomware.

Κιτ εκμετάλλευσης:
Τα κιτ εκμετάλλευσης στοχεύουν τρωτά σημεία σε λογισμικό ή προγράμματα περιήγησης. Εάν το σύστημά σας έχει απαρχαιωμένο λογισμικό ή μη επιδιορθωμένα τρωτά σημεία, το ransomware μπορεί να εκμεταλλευτεί αυτές τις αδυναμίες για να αποκτήσει πρόσβαση.

Επιθέσεις Remote Desktop Protocol (RDP):
Εάν το σύστημά σας διαθέτει ανοιχτή και μη ασφαλή θύρα RDP, οι εισβολείς ενδέχεται να χρησιμοποιήσουν επιθέσεις ωμής βίας ή να εκμεταλλευτούν αδύναμα διαπιστευτήρια για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και να αναπτύξουν ransomware.

Κοινωνική μηχανική:
Οι εγκληματίες του κυβερνοχώρου ενδέχεται να χρησιμοποιήσουν τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες να κατεβάσουν ή να εκτελέσουν κακόβουλα αρχεία. Αυτό μπορεί να περιλαμβάνει την προσέλκυση χρηστών με ψεύτικες ενημερώσεις λογισμικού, δωρεάν λήψεις ή δελεαστικά μηνύματα.

Λήψεις Drive-by:
Οι λήψεις μέσω Drive πραγματοποιούνται όταν γίνεται αυτόματη λήψη και εκτέλεση κακόβουλου λογισμικού όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο. Αυτό μπορεί να συμβεί χωρίς καμία αλληλεπίδραση με τον χρήστη.

Κακόβουλα συνημμένα email:
Το Ransomware μπορεί να παραδοθεί μέσω συνημμένων email που φαίνονται αβλαβή, όπως PDF ή έγγραφα του Office. Μόλις ανοίξει το συνημμένο, το κακόβουλο λογισμικό ενεργοποιείται.