Multi-License Discount Quote
Databáze hrozeb Ransomware Z1n Ransomware

Z1n Ransomware

V roce Mezo v roce Ransomware
Přeložit do:
Čeština

Při zkoumání malwarových hrozeb výzkumníci identifikovali Z1n Ransomware, což vrhlo světlo na jeho zákeřnou povahu. Z1n funguje jako varianta ransomwaru, která využívá techniku, kdy šifruje data na napadených zařízeních a následně požaduje výkupné za dešifrování.

Po spuštění na cílových zařízeních Z1n zašifruje soubory, znepřístupní je a upraví jejich názvy souborů. Původní názvy souborů procházejí transformací, přičemž oběti je přiděleno exkluzivní ID, e-mailová adresa útočníků a přípona .z1n. Například soubor původně pojmenovaný '1.doc' by byl transformován na '1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.'

Po procesu šifrování Z1n vygeneruje poznámky o výkupném ve formě vyskakovacího okna a textového souboru s názvem „read.txt“. Pozoruhodné je, že výkupné doručené jako textové soubory jsou uloženy na ploše a ve všech zašifrovaných adresářích. Významným odhalením od výzkumníků je, že Z1n je přidružen k rodině Dharma Ransomware , což poskytuje pohled na jeho klasifikaci a původ.

Z1n Ransomware může způsobit významné poškození infikovaných zařízení

Z1n je identifikován jako člen rodiny Dharma Ransomware, která se vyznačuje tím, že zabraňuje znefunkčnění infikovaného zařízení úmyslným vynecháním šifrování důležitých systémových souborů. Cílem tohoto strategického přístupu je zejména zajistit, aby základní funkce systému zůstaly nedotčeny, což umožňuje infikovanému zařízení zůstat funkční navzdory aktivitě ransomwaru.

Kromě této jedinečné vlastnosti vykazují varianty Dharma Ransomware, včetně Z1n, sofistikované chování při shromažďování geolokačních dat po infiltraci. Tato data se pak použijí k posouzení proveditelnosti šifrování, přičemž se bere v úvahu například vyhýbání se strojům umístěným v ekonomicky slabých regionech nebo v zemích se sladěnými politickými nebo geopolitickými ideologiemi.

Po infiltraci do systému tyto ransomwarové programy deaktivují firewall a nastolí perzistenci pomocí dvou mechanismů. Zaprvé zkopírováním malwaru do cesty %LOCALAPPDATA% a jeho registrací pomocí konkrétních kláves Run a zadruhé automatickým spouštěním malwaru po každém restartu systému.

Dharma ransomware, včetně Z1n, využívá strategii šifrování, která zahrnuje místní i síťové soubory. Aby se zabránilo výjimkám kvůli souborům, které jsou považovány za „používané“, ransomware ukončuje procesy spojené s otevřenými soubory, včetně databázových programů a čteček textových souborů.

Pozoruhodnou funkcí je snaha ransomwaru vyhnout se dvojitému šifrování sledováním seznamu vyloučených dat, která již byla uzamčena jiným ransomwarem. Uznává se však, že tento proces není spolehlivý, protože nemusí pokrývat všechny infekce podobné povahy. Dharma dále komplikuje možnosti obnovy dat odstraněním stínových kopií svazku, což omezuje potenciální cesty pro obnovu zašifrovaných souborů.

Oběti ransomwaru Z1n jsou ponechány s pokyny k platbám výkupného

Textový soubor spojený s Z1n Ransomware slouží jako stručná komunikace s obětí, která ji informuje, že její data byla uzamčena. Vybízí oběť, aby navázala kontakt s útočníky a zahájila proces obnovy. Na druhou stranu vyskakovací zpráva doprovázející infekci ransomware poskytuje podrobnější informace. Výslovně uvádí, že soubory, které byly znepřístupněny, byly zašifrovány. I když se v poznámce výslovně neuvádí, že pro dešifrování je nutné zaplatit výkupné, důrazně takový požadavek zahrnuje.

Ve snaze poskytnout zdání záruky obnovení tato zpráva rozšiřuje nabídku na bezplatný test dešifrování. Tento test umožňuje oběti posoudit možnost obnovy u tří souborů, z nichž každý nepřesahuje velikost 5 MB a neobsahuje kritická data. Je však pozoruhodné, že oběť je varována, aby nevyhledávala pomoc od třetích stran (zprostředkovatelů), a nedoporučuje se provádět úpravy dotčených souborů. Tato varování podtrhují důraz provozovatelů ransomwaru na přímou komunikaci a dodržování jejich specifikovaných procesů pro potenciální obnovu dat.

Odborníci odrazují od poskytování jakýchkoli peněz kyberzločincům

Dešifrování souborů zašifrovaných hrozbami ransomwaru obvykle vyžaduje zásah útočníků, takže obnova je náročný proces. Výjimky z tohoto pravidla jsou vzácné a často zahrnují případy, kdy má ransomware významné chyby.

Oběti, které splňují požadavky na výkupné, se mohou stále ocitnout bez nezbytných dešifrovacích klíčů nebo nástrojů. Tato nepředvídatelnost podtrhuje nespolehlivost kyberzločinců při plnění slibů, a proto se důrazně nedoporučuje provádět žádné platby nebo se řídit pokyny od těchto zlomyslných aktérů. Zapojení do takových akcí nejenže nezaručuje obnovu souborů, ale také podporuje a udržuje trestnou činnost.

Je důležité si uvědomit, že i když odstranění ransomwaru z operačního systému zabrání dalšímu šifrování, neobnoví automaticky dříve ohrožená data. Pro zvýšení bezpečnosti dat se doporučuje udržovat zálohy na více místech, jako jsou odpojená úložná zařízení a vzdálené servery. Tento mnohostranný přístup k úložišti záloh pomáhá zmírnit dopad ransomwarových útoků a zajišťuje robustnější strategii obnovy dat.

Výkupné, které se obětem zobrazí ve vyskakovacím okně, je:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.

We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.

Please note that these files should not contain important and critical data.

Demo recovery is intended to demonstrate our skills and capabilities.

---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.

We use advanced technology and techniques to maximize the likelihood of a successful recovery.

---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.

We appreciate your participation and feedback.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files created by Z1n Ransomware contain the following message:

all your data has been locked us

You want to return?

write email zohodzin@tuta.io or zohodzin@cock.li'

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
33,334
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...