Z1n рансъмуер
Докато разследваха заплахите от злонамерен софтуер, изследователите идентифицираха Z1n Ransomware, хвърляйки светлина върху неговата злонамерена природа. Z1n работи като вариант на рансъмуер, като използва техника, при която криптира данни на компрометирани устройства и впоследствие изисква откуп за дешифриране.
При изпълнение на целеви устройства, Z1n криптира файлове, като ги прави недостъпни и променя имената им на файлове. Оригиналните заглавия на файлове претърпяват трансформация, с изключителен идентификатор, присвоен на жертвата, имейл адрес на нападателите и добавено разширение „.z1n“. Например, файл с първоначално име „1.doc“ ще бъде трансформиран в „1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.“
След процеса на криптиране Z1n генерира бележки за откуп под формата на изскачащ прозорец и текстов файл с име „read.txt“. По-специално, бележките за откуп, доставени като текстови файлове, се депозират на работния плот и във всички криптирани директории. Значително разкритие от изследователите е, че Z1n е свързан с фамилията Dharma Ransomware , предоставяйки представа за неговата класификация и произход.
Съдържание
Рансъмуерът Z1n може да причини значителни щети на заразените устройства
Z1n е идентифициран като член на фамилията Dharma Ransomware, която се отличава с това, че избягва да прави заразеното устройство неработоспособно чрез умишлено пропускане на криптиране на критични системни файлове. По-специално, този стратегически подход има за цел да гарантира, че основните системни функции остават незасегнати, позволявайки на заразеното устройство да остане работещо въпреки активността на ransomware.
В допълнение към тази уникална характеристика, вариантите на Dharma Ransomware, включително Z1n, показват усъвършенствано поведение на събиране на данни за геолокация след проникване. След това тези данни се използват за оценка на осъществимостта на продължаване с криптиране, като се вземат предвид съображения като избягване на машини, разположени в икономически слаби региони или такива в страни с политически или геополитически идеологии.
При проникване в система, тези рансъмуер програми деактивират защитната стена и установяват устойчивост чрез два механизма. Първо, чрез копиране на зловреден софтуер в пътя %LOCALAPPDATA% и регистриране със специфични ключове за изпълнение, и второ, чрез автоматично иницииране на зловреден софтуер след всяко рестартиране на системата.
Dharma ransomware, включително Z1n, използва стратегия за криптиране, която обхваща както локални, така и споделени в мрежа файлове. За да предотврати изключения, дължащи се на файлове, които се считат за „използвани“, рансъмуерът прекратява процесите, свързани с отворени файлове, включително програми за бази данни и четци на текстови файлове.
Забележителна характеристика е усилието на рансъмуера да избегне двойно криптиране, като следва списък с изключения за данни, които вече са заключени от друг рансъмуер. Признава се обаче, че този процес не е надежден, тъй като може да не обхваща всички инфекции от подобно естество. Dharma допълнително усложнява опциите за възстановяване на данни чрез изтриване на Shadow Volume Copies, ограничавайки потенциалните пътища за възстановяване на криптирани файлове.
Жертвите на Z1n Ransomware са оставени с инструкции за извършване на плащания за откуп
Текстовият файл, свързан с Z1n Ransomware, служи за кратко съобщение до жертвата, уведомявайки я, че данните им са заключени. Той насърчава жертвата да установи контакт с нападателите, за да започне процеса на възстановяване. От друга страна, изскачащото съобщение, придружаващо инфекцията с ransomware, предоставя по-подробна информация. Изрично се споменава, че файловете, направени недостъпни, са били криптирани. Въпреки че бележката се въздържа от изрично посочване, че плащането на откуп е необходимо за декриптиране, тя силно загатва такова изискване.
В опит да предостави подобие на гаранция за възстановяване, съобщението разширява оферта за безплатен тест за дешифриране. Този тест позволява на жертвата да оцени възможността за възстановяване на три файла, всеки от които не надвишава 5MB по размер и е лишен от критични данни. Заслужава обаче да се отбележи, че жертвата е предупредена да не търси помощ от трети страни (посредници) и е посъветвана да не прави модификации на засегнатите файлове. Тези предупреждения подчертават акцента на операторите на ransomware върху директната комуникация и спазването на техните определени процеси за потенциално възстановяване на данни.
Експертите обезсърчават даването на пари на киберпрестъпници
Декриптирането на файлове, шифровани от заплахи за ransomware, обикновено изисква намесата на атакуващите, което прави възстановяването труден процес. Изключенията от това правило са редки и често включват случаи, в които рансъмуерът има значителни недостатъци.
Жертвите, които се съобразяват с исканията за откуп, все още могат да се окажат без необходимите ключове или инструменти за дешифриране. Тази непредсказуемост подчертава ненадеждността на киберпрестъпниците при изпълнение на обещанията, което ги кара да не се правят никакви плащания или да се следват инструкции от тези злонамерени участници. Участието в такива действия не само не гарантира възстановяване на файлове, но също така поддържа и поддържа престъпната дейност.
Важно е да се отбележи, че докато премахването на ransomware от операционната система предотвратява по-нататъшно криптиране, то не възстановява автоматично компрометирани преди това данни. За да подобрите безопасността на данните, се препоръчва да поддържате резервни копия на множество места, като например изключени устройства за съхранение и отдалечени сървъри. Този многостранен подход към съхранението на резервни копия помага за смекчаване на въздействието на атаките на ransomware и осигурява по-стабилна стратегия за възстановяване на данни.
Бележката за откуп, която се показва на жертвите в изскачащ прозорец, е:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
