Avanzi Ransomware

В хода на изследване на потенциално заплашителен софтуер, изследователите на киберсигурността са идентифицирали вариант на рансъмуер, наричан Avanzi. След като успешно проникне в компютър, Avanzi изпълнява поредица от вредни действия, включително криптиране на файлове, промяна на имената им, показване на бележка за откуп на жертвите и генериране на допълнителна бележка във файла „info.txt“.

При заразяване Avanzi добавя специфични елементи към имената на файловете, а именно ID на жертвата, имейл адреса „avanziahelp@cock.li“ и разширението „.avan“. Например, той трансформира файл като „1.png“ в „1.png.id-9ECFA74E.[avanziahelp@cock.li].avan“ и „2.pdf“ в „2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan“ и т.н. Важен аспект, който трябва да се отбележи относно Avanzi Ransomware, е връзката му със скандалното семейство Dharma от заплахи за зловреден софтуер.

Рансъмуерът Avanzi може да причини сериозни щети на компрометирани устройства

Бележката за откуп, издадена от Avanzi Ransomware, започва със съобщение, информиращо жертвите, че всичките им файлове са били криптирани, но ги уверява във възможността за възстановяване. Жертвите се насочват да установят контакт с нападателите в строго определен срок от 12 часа чрез посочения имейл адрес (avanziahelp@cock.li), с алтернативен имейл (avanzirest@tuta.io), предоставен за случаи на забавен отговор.

За да покаже подобие на добра воля, бележката обещава безплатно декриптиране за до три файла, като очертава конкретни условия за допустимост. Освен това на жертвите се предоставят насоки за придобиване на биткойни, предпочитаният метод за плащане на откуп. Бележката изрично предупреждава срещу определени действия, като преименуване на файлове или опити за дешифриране от трети страни, за да се предотврати трайна загуба на данни или податливост на тактики.

Заслужава да се отбележи стратегията на Avanzi за компрометиране на основния защитен механизъм на целевата система чрез деактивиране на защитната стена. Освен това, той елиминира Shadow Volume Copies, като по този начин затваря потенциални пътища за възстановяване на данни. Рансъмуерът се възползва от уязвимости в услугите на протокола за отдалечен работен плот (RDP), за да улесни неоторизиран достъп.

Avanzi използва груба сила и речникови атаки, за да използва слаби идентификационни данни за акаунт, предимно на системи, използващи RDP услуги. Устойчивостта на злонамерения софтуер в заразената система поражда сериозни опасения. В допълнение към криптирането и компрометирането на системата, Avanzi събира данни за местоположението и може избирателно да изключи предварително дефинирани местоположения, като по този начин удължава своето въздействие и продължителност.

Как да защитите устройствата си от заплахи от рансъмуер?

Защитата на устройствата от заплахи за ransomware включва приемането на многопластов подход за подобряване на цялостната киберсигурност. Ето някои основни практики и препоръки:

• Поддържайте актуализиран софтуер : Редовно актуализирайте операционни системи, софтуер за сигурност и приложения. Софтуерните актуализации често включват пачове за сигурност, които адресират уязвимостите, използвани от ransomware.
• Инсталирайте надежден софтуер против зловреден софтуер : Използвайте уважаван софтуер за сигурност, за да осигурите защита в реално време срещу различни заплахи, включително ransomware. Уверете се, че софтуерът е настроен да се актуализира и да извършва редовни сканирания автоматично.
• Архивирайте важни данни : Редовно архивирайте критични данни на външен твърд диск или защитена облачна услуга. Това гарантира, че дори ако вашето устройство е компрометирано, можете да възстановите вашите файлове, без да се поддавате на искания за откуп.
• Използвайте силни и уникални пароли : Внедрете силни, уникални пароли за всички акаунти и устройства. Избягвайте използването на лесни за отгатване пароли и обмислете използването на мениджър на пароли, за да следите сложни идентификационни данни.
• Бъдете внимателни с прикачени файлове и връзки към имейли : Бъдете внимателни с неочаквани имейли, особено тези, които съдържат прикачени файлове или връзки. Избягвайте да отваряте прикачени файлове или да щраквате върху връзки от неизвестни или подозрителни източници, тъй като те може да съдържат рансъмуер или друг зловреден софтуер.
• Обучавайте себе си и потребителите : Бъдете информирани за най-новите заплахи за киберсигурността и информирайте себе си и другите потребители за рисковете от кликване върху неизвестни връзки, изтегляне на подозрителни файлове или посещение на ненадеждни уебсайтове.

Възприемайки тези практики, потребителите могат значително да намалят риска да станат жертва на ransomware и да подобрят цялостната позиция на сигурност на своите устройства.

Пълният текст на бележката за откуп, генерирана от Avanzi Ransomware на нарушени устройства, е:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.

Текстовият файл, изпуснат от Avanzi Ransomware, съдържа следното съобщение:

всички ваши данни са ни заключени

Искаш ли да се върнеш?

напишете имейл avanziahelp@cock.li или avanzirest@tuta.io'