Программа-вымогатель ZENEX будет шифровать системы жертв

В ходе проверки новых образцов вредоносных файлов мы определили ZENEX как программу-вымогатель, связанную с семейством Proton. ZENEX создан для шифрования файлов, изменения имен зашифрованных файлов, отображения записки о выкупе под названием «#Zenex-Help.txt» и изменения обоев рабочего стола.

ZENEX изменяет имена файлов, добавляя адрес электронной почты decrypthelp0@gmail.com и расширение «.ZENEX». Например, он преобразует «1.jpg» в «1.jpg.[decrypthelp0@gmail.com].ZENEX», а «2.png» становится «2.png.[decrypthelp0@gmail.com].ZENEX». и так далее.

Записка о выкупе уведомляет жертву о том, что ее файлы были зашифрованы и взяты без возможности восстановления без использования службы расшифровки, предлагаемой злоумышленниками. В записке подчеркивается финансовый мотив атаки, обещая программное обеспечение для дешифрования и удаление данных после оплаты. Чтобы вселить уверенность, злоумышленники предоставляют гарантию, расшифровывая небольшой файл в качестве доказательства своих возможностей.

Контактные данные передаются по адресам электронной почты (decrypthelp0@gmail.com и cryptblack@mailfence.com) и сопровождаются предостережением не обращаться за помощью к компаниям по восстановлению данных, которые, по утверждению злоумышленников, являются ненадежными посредниками. Подчеркивается срочность, поощряется своевременная оплата для обеспечения более низкой цены, а также выдается предупреждение о несанкционированном вмешательстве в зашифрованные файлы, чтобы не усложнять процесс расшифровки.

В записке о выкупе ZENEX используется шаблон Proton

Полный текст записки о выкупе ZENEX выглядит следующим образом:

ZENEX
What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

How to contact us?
Our email address: decrypthelp0@gmail.com
In case of no answer within 24 hours, contact to this email: cryptblack@mailfence.com
Write your personal ID in the subject of the email.

Your personal ID: -

Предупреждения!

Не обращайтесь в компании по восстановлению, они всего лишь посредники, которые заработают на вас деньги и обманут.
Они тайно договариваются с нами, покупают программу для дешифрования и продадут ее вам в разы дороже или просто обманут.

Не медлите долго. Чем быстрее вы платите, тем ниже цена.

Не удаляйте и не изменяйте зашифрованные файлы, это приведет к проблемам с расшифровкой файлов.

Как программы-вымогатели, подобные ZENEZ, могут заразить вашу систему?

Такие программы-вымогатели, как ZENEZ, могут заразить вашу систему различными способами, и понимание этих точек входа имеет решающее значение для реализации эффективных мер кибербезопасности. Вот распространенные способы проникновения программ-вымогателей в систему:

Фишинговые письма:
Одним из наиболее распространенных методов является использование фишинговых писем. Злоумышленники могут отправлять электронные письма, содержащие вредоносные вложения или ссылки. Как только пользователь открывает вложение или нажимает ссылку, программа-вымогатель запускается.

Вредоносные веб-сайты:
Посещение взломанных или вредоносных веб-сайтов может привести к тому, что ваша система подвергнется посторонним загрузкам. Эти загрузки могут незаметно установить на ваш компьютер программу-вымогатель без вашего ведома.

Вредоносная реклама:
Вредоносная реклама или вредоносная реклама на законных веб-сайтах может привести к заражению программами-вымогателями. Нажатие на эти объявления может вызвать загрузку и выполнение программы-вымогателя.

Наборы эксплойтов:
Наборы эксплойтов нацелены на уязвимости в программном обеспечении или браузерах. Если ваша система имеет устаревшее программное обеспечение или неисправленные уязвимости, программы-вымогатели могут использовать эти уязвимости для получения доступа.

Атаки по протоколу удаленного рабочего стола (RDP):
Если в вашей системе имеется открытый и незащищенный порт RDP, злоумышленники могут использовать грубую силу или использовать слабые учетные данные для получения несанкционированного доступа и установки программы-вымогателя.

Социальная инженерия:
Киберпреступники могут использовать тактику социальной инженерии, чтобы обманом заставить пользователей загрузить или запустить вредоносные файлы. Это может включать в себя заманивание пользователей поддельными обновлениями программного обеспечения, бесплатными загрузками или заманчивыми сообщениями.

Загрузки по ходу дела:
Загрузка с диска происходит, когда вредоносное ПО автоматически загружается и запускается, когда пользователь посещает взломанный веб-сайт. Это может произойти без какого-либо взаимодействия с пользователем.

Вредоносные вложения электронной почты:
Программы-вымогатели могут распространяться через вложения электронной почты, которые кажутся безобидными, например PDF-файлы или документы Office. После открытия вложения вредоносное ПО активируется.