Avanzi Ransomware

Durant l'examen de programari potencialment amenaçador, els investigadors de ciberseguretat han identificat una variant de ransomware anomenada Avanzi. Un cop s'ha infiltrat amb èxit en un ordinador, Avanzi executa una sèrie d'accions perjudicials, com ara xifrar fitxers, modificar els seus noms, mostrar una nota de rescat a les víctimes i generar una nota addicional dins del fitxer "info.txt".

Quan s'infecta, Avanzi afegeix elements específics als noms de fitxer, com ara l'identificador de la víctima, l'adreça de correu electrònic "avanziahelp@cock.li" i l'extensió ".avan". Per exemple, transforma un fitxer com '1.png' en '1.png.id-9ECFA74E.[avanziahelp@cock.li].avan' i '2.pdf' en '2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan,' i així successivament. Un aspecte important a tenir en compte sobre l'Avanzi Ransomware és la seva associació amb la infame família d'amenaces de programari maliciós Dharma .

El ransomware Avanzi podria causar danys greus als dispositius compromesos

La nota de rescat emesa per Avanzi Ransomware comença amb un anunci informant a les víctimes que tots els seus fitxers han estat xifrats, però assegurant-los la possibilitat de recuperació. Es demana a les víctimes que estableixin contacte amb els atacants en un termini estricte de 12 hores mitjançant l'adreça de correu electrònic especificada (avanziahelp@cock.li), amb un correu electrònic alternatiu (avanzirest@tuta.io) proporcionat per als casos de resposta retardada.

Per mostrar una aparença de bona voluntat, la nota promet un desxifrat gratuït per a un màxim de tres fitxers, descrivint les condicions específiques d'elegibilitat. A més, les víctimes reben orientació sobre l'adquisició de Bitcoins, el mètode preferit de pagament del rescat. La nota adverteix explícitament contra determinades accions, com ara el canvi de nom dels fitxers o els intents de desxifrat de tercers, per evitar la pèrdua permanent de dades o la susceptibilitat a les tàctiques.

Cal destacar l'estratègia d'Avanzi de comprometre el mecanisme de defensa principal del sistema objectiu desactivant el tallafoc. A més, elimina les còpies de volum d'ombra, tancant així vies potencials per a la recuperació de dades. El ransomware aprofita les vulnerabilitats dels serveis de protocol d'escriptori remot (RDP) per facilitar l'accés no autoritzat.

Avanzi utilitza atacs de força bruta i diccionaris per explotar credencials de compte febles, principalment en sistemes que utilitzen serveis RDP. La persistència del programari maliciós al sistema infectat genera preocupacions importants. A més de xifrar i comprometre el sistema, Avanzi recopila dades d'ubicació i pot excloure selectivament ubicacions predefinides, ampliant així el seu impacte i durada.

Com protegir els vostres dispositius de les amenaces de ransomware?

Protegir els dispositius de les amenaces de ransomware implica adoptar un enfocament de diverses capes per millorar la ciberseguretat global. Aquestes són algunes de les pràctiques i recomanacions clau:

• Mantenir el programari actualitzat : actualitzeu regularment els sistemes operatius, el programari de seguretat i les aplicacions. Les actualitzacions de programari sovint inclouen pedaços de seguretat que aborden les vulnerabilitats explotades pel ransomware.
• Instal·leu programari anti-malware fiable : utilitzeu un programari de seguretat de confiança per oferir protecció en temps real contra diverses amenaces, inclòs el programari ransom. Assegureu-vos que el programari estigui configurat per actualitzar-se i dur a terme exploracions periòdiques automàticament.
• Còpia de seguretat de dades importants : feu una còpia de seguretat de les dades crítiques periòdicament en un disc dur extern o en un servei de núvol segur. Això garanteix que, fins i tot si el vostre dispositiu està compromès, podeu restaurar els fitxers sense sucumbir a les demandes de rescat.
• Utilitzeu contrasenyes úniques i fortes : implementeu contrasenyes úniques i fortes per a tots els comptes i dispositius. Eviteu utilitzar contrasenyes fàcilment endevinables i considereu utilitzar un gestor de contrasenyes per fer un seguiment de les credencials complexes.
• Aneu amb compte amb els fitxers adjunts i els enllaços de correu electrònic : aneu amb compte amb els correus electrònics inesperats, especialment els que contenen fitxers adjunts o enllaços. Eviteu obrir fitxers adjunts o fer clic a enllaços de fonts desconegudes o sospitoses, ja que poden contenir programari de ransom o un altre programari maliciós.
• Informa't a tu mateix i als usuaris : estigues informat sobre les últimes amenaces de ciberseguretat i informa't a tu mateix i als altres usuaris sobre els riscos de fer clic a enllaços desconeguts, descarregar fitxers sospitosos o visitar llocs web no fiables.

En adoptar aquestes pràctiques, els usuaris poden reduir significativament el risc de ser víctimes del ransomware i millorar la postura de seguretat general dels seus dispositius.

El text complet de la nota de rescat generada per Avanzi Ransomware en dispositius violats és:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Atenció!
No canvieu el nom dels fitxers xifrats.
No intenteu desxifrar les vostres dades amb programari de tercers, pot provocar una pèrdua permanent de dades.
El desxifrat dels vostres fitxers amb l'ajuda de tercers pot provocar un augment del preu (afegim la seva tarifa a la nostra) o podeu convertir-vos en víctima d'una estafa.

El fitxer de text deixat per Avanzi Ransomware conté el missatge següent:

totes les vostres dades ens han bloquejat

Vols tornar?

escriu un correu electrònic avanziahelp@cock.li o avanzirest@tuta.io'