Z1n Ransomware
Mentre investigaven les amenaces de programari maliciós, els investigadors han identificat el Z1n Ransomware, donant llum sobre la seva naturalesa maliciosa. Z1n funciona com una variant de ransomware, utilitzant una tècnica on xifra les dades en dispositius compromesos i, posteriorment, demana un rescat per al desxifrat.
Quan s'executa als dispositius de destinació, Z1n xifra els fitxers, fent-los inaccessibles i modificant els seus noms de fitxer. Els títols dels fitxers originals pateixen una transformació, amb un identificador exclusiu assignat a la víctima, l'adreça de correu electrònic dels atacants i l'extensió ".z1n". Per exemple, un fitxer anomenat originalment '1.doc' es transformaria en '1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.'
Després del procés de xifratge, Z1n genera notes de rescat en forma d'una finestra emergent i un fitxer de text anomenat "read.txt". En particular, les notes de rescat lliurades com a fitxers de text es dipositen a l'escriptori i dins de tots els directoris xifrats. Una revelació important dels investigadors és que Z1n està afiliat a la família Dharma Ransomware , proporcionant informació sobre la seva classificació i origen.
Taula de continguts
El ransomware Z1n pot causar danys importants als dispositius infectats
Z1n s'identifica com a membre de la família de ransomware Dharma, que es distingeix per evitar que el dispositiu infectat sigui inoperable mitjançant l'omissió deliberada de xifrar fitxers crítics del sistema. En particular, aquest enfocament estratègic pretén garantir que les funcions essencials del sistema no es vegin afectades, permetent que el dispositiu infectat continuï operatiu malgrat l'activitat de ransomware.
A més d'aquesta característica única, les variants de Dharma Ransomware, inclòs Z1n, presenten un comportament sofisticat per recopilar dades de geolocalització després de la infiltració. A continuació, aquestes dades s'utilitzen per avaluar la viabilitat de procedir amb el xifratge, amb consideracions com evitar màquines ubicades en regions econòmicament febles o aquelles en països amb ideologies polítiques o geopolítiques alineades.
En infiltrar-se en un sistema, aquests programes de ransomware desactiven el tallafoc i estableixen la persistència mitjançant dos mecanismes. En primer lloc, copiant el programari maliciós a la ruta %LOCALAPPDATA% i registrant-lo amb claus d'execució específiques, i en segon lloc, iniciant automàticament el programari maliciós després de cada reinici del sistema.
El ransomware Dharma, inclòs Z1n, utilitza una estratègia de xifratge que inclou fitxers locals i compartits a la xarxa. Per evitar exempcions a causa dels fitxers que es consideren "en ús", el ransomware finalitza els processos associats als fitxers oberts, inclosos els programes de bases de dades i els lectors de fitxers de text.
Una característica notable és l'esforç del ransomware per evitar el doble xifratge seguint una llista d'exclusió per a dades ja bloquejades per altres ransomware. Tanmateix, es reconeix que aquest procés no és infal·lible, ja que pot no cobrir totes les infeccions de naturalesa similar. Dharma complica encara més les opcions de recuperació de dades eliminant les còpies del volum d'ombra, limitant les vies potencials per restaurar fitxers xifrats.
Les víctimes del ransomware Z1n es queden amb instruccions per fer pagaments de rescat
El fitxer de text associat amb el Z1n Ransomware serveix com una breu comunicació a la víctima, notificant-li que les seves dades s'han bloquejat. Anima la víctima a establir contacte amb els atacants per iniciar el procés de recuperació. D'altra banda, el missatge emergent que acompanya la infecció del ransomware proporciona informació més detallada. Esmenta explícitament que els fitxers inaccessibles s'han xifrat. Tot i que la nota s'absté d'indicar explícitament que el pagament d'un rescat és necessari per al desxifrat, implica fermament aquest requisit.
En un intent de proporcionar una semblança de garantia de recuperació, el missatge amplia una oferta per a una prova de desxifrat gratuïta. Aquesta prova permet a la víctima avaluar la possibilitat de recuperació de tres fitxers, cadascun no superior a 5 MB de mida i sense dades crítiques. No obstant això, cal destacar que s'adverteix a la víctima que no sol·liciti l'assistència de tercers (intermediaris) i que no faci modificacions als fitxers afectats. Aquestes advertències subratllen l'èmfasi dels operadors de ransomware en la comunicació directa i l'adhesió als processos especificats per a una possible recuperació de dades.
Els experts descoratllen donar diners als ciberdelinqüents
El desxifrat dels fitxers xifrats per amenaces de ransomware sol requerir la intervenció dels atacants, cosa que fa que la recuperació sigui un procés difícil. Les excepcions a aquesta regla són rares i sovint impliquen casos en què el ransomware té defectes importants.
Les víctimes que compleixen les demandes de rescat encara poden trobar-se sense les claus o eines de desxifrat necessàries. Aquesta imprevisibilitat posa de manifest la falta de fiabilitat dels ciberdelinqüents a l'hora de complir les promeses, per la qual cosa es desaconsella fer cap pagament o seguir instruccions d'aquests actors maliciosos. Participar en aquestes accions no només no garanteix la recuperació dels fitxers, sinó que també dóna suport i perpetua l'activitat delictiva.
És crucial tenir en compte que, tot i que l'eliminació del ransomware del sistema operatiu impedeix més xifrats, no restaura automàticament les dades anteriorment compromeses. Per millorar la seguretat de les dades, es recomana mantenir còpies de seguretat en diverses ubicacions, com ara dispositius d'emmagatzematge desconnectats i servidors remots. Aquest enfocament polifacètic de l'emmagatzematge de còpies de seguretat ajuda a mitigar l'impacte dels atacs de ransomware i garanteix una estratègia de recuperació de dades més sòlida.
La nota de rescat que es mostra a les víctimes en una finestra emergent és:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
