Slevová nabídka pro více licencí
Databáze hrozeb Ransomware Ransomware Zeo

Ransomware Zeo

V roce Mezo v roce Ransomware
Přeložit do:

Ochrana osobních i firemních systémů před destruktivním malwarem je nezbytná, protože i jediný útok může vést k dlouhodobým následkům. Ransomware zůstává jednou z nejničivějších hrozeb v oběhu a Zeo Ransomware je ukázkovým příkladem sofistikovanosti, které moderní vydírání dosáhlo.

Nová varianta se známými kořeny

Ranser Zeo se objevil během rutinního monitorování hrozeb a byl rychle spojen s dlouhodobě rozšířenou rodinou ransomwarů Dharma. Jakmile naruší systém, zašifruje data a změní názvy souborů přidáním ID specifického pro oběť, e-mailové adresy útočníků a přípony „.zeo“. Typickým příkladem je transformovaný soubor, například „1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo“.

Po fázi šifrování Zeo doručí dvě zprávy s žádostí o výkupné: vyskakovací okno s podrobnými pokyny a soubor v prostém textu s názvem „info.txt“. Oba zdůrazňují, že jediný způsob, jak obnovit přístup, je kontaktovat útočníky a zaplatit výkupné v bitcoinech. Vyskakovací zpráva se snaží vybudovat důvěru tím, že nabízí omezený bezplatný dešifrovací test a zároveň hrozí nevratným poškozením, pokud oběti upraví soubory nebo se pokusí o nezávislou obnovu.

Jak Zeo funguje pod kapotou

Stejně jako ostatní varianty Dharmy se i Zeo zaměřuje na šifrování dat uložených lokálně i v síťových úložištích. Stabilita systému je zachována, protože Zeo se vyhýbá manipulaci s kritickými komponentami operačního systému. Aby se předešlo chybám během šifrování, ukončuje procesy vázané na aktuálně otevřené soubory, jako jsou databázové stroje a prohlížeče dokumentů.

Ransomware obsahuje několik behaviorálních ochranných opatření. Kontroluje shromážděná geolokační data, aby určil, zda má pokračovat v útocích, a potenciálně se vyhýbá regionům, které mohou být nerentabilní nebo politicky citlivé. Obsahuje také mechanismus určený k zabránění dvojitému šifrování, ačkoli logika vyloučení je neúplná a nezohledňuje každou rodinu ransomwaru.

Perzistence se dosahuje dvěma hlavními metodami: kopírováním do adresáře %LOCALAPPDATA% a registrací položek automatického spouštění pod specifickými klíči Spustit. Zeo navíc maže stínové kopie svazků, aby odstranil vestavěné možnosti obnovy, na které by se uživatelé jinak mohli spoléhat.

Přenašeči infekce a taktiky šíření

Hrozby založené na Dharmě často infiltrují systémy prostřednictvím odhalených nebo špatně zabezpečených služeb protokolu vzdálené plochy (Remote Desktop Protocol). Útočníci se k získání přístupu spoléhají na útoky hrubou silou a slovníkovými útoky a napadené systémy mohou mít krátce po průniku oslabené nebo deaktivované firewally.

Jiné distribuční cesty zůstávají rozšířené. Útočníci se často spoléhají na klamavé e-maily, škodlivé přílohy, kompromitované soubory ke stažení, podvodné aktualizace, cracky a pirátský obsah. Nebezpečné datové soubory se objevují v mnoha formátech, včetně archivů, spustitelných souborů, dokumentů, souborů JavaScript a dalších. V některých případech se malware šíří laterálně do dalších zařízení ve stejné síti nebo prostřednictvím přenosného úložiště.

Proč zaplacení výkupného není bezpečné řešení

Oběti jen zřídka disponují technickými prostředky k dešifrování souborů napadených moderním ransomwarem. Pokud malware neobsahuje kritickou chybu, potřebné klíče mají pouze jeho operátoři. Zaplacení výkupného však nezaručuje, že útočníci doručí funkční dešifrovací program, a oběti často přicházejí o peníze i data. Financování takových operací také podporuje další trestnou činnost.

Odstranění ransomwaru je nezbytné k zabránění dalšímu poškození, ale odstranění Zeo neobnoví šifrované soubory. Obnova je možná pouze prostřednictvím čistých záloh uložených na oddělených místech, jako jsou offline zařízení nebo zabezpečené vzdálené servery.

Posílení zabezpečení zařízení

Vícevrstvý přístup drasticky snižuje riziko napadení ransomwarem. Následující postupy pomáhají posílit dlouhodobou odolnost:

Základní preventivní opatření

Udržujte přísnou kontrolu nad přístupem k protokolu Remote Desktop Protocol (RDP) pomocí silných a jedinečných přihlašovacích údajů, zakázáním externího přístupu, když je nepotřebný, a vynucením ověřování s omezením rychlosti přístupu nebo vícefaktorového ověřování.

Okamžitě nainstalujte aktualizace zabezpečení v celém operačním systému, nainstalovaném softwaru a komponentách vystavených síťovému připojení.

Další doporučení osvědčených postupů

Uchovávejte spolehlivé zálohy s verzemi na více izolovaných místech, včetně offline nebo neměnného úložiště.

  • Používejte renomované bezpečnostní nástroje k monitorování podezřelé aktivity a blokování malwaru před jeho spuštěním.
  • K nevyžádaným e-mailům, přílohám a nabídkám ke stažení přistupujte se skepticismem, zejména k těm, které se vydávají za legitimní organizace nebo nabízejí bezplatný software.
  • Vyhněte se pirátskému softwaru, nedůvěryhodným portálům pro stahování a pochybným reklamám v prohlížečích.
  • Kdykoli je to možné, omezte administrátorská oprávnění a zajistěte, aby se každodenní úkoly prováděly pomocí neadministrátorských účtů.

Kombinací disciplinované hygieny systému s robustními kontrolami přístupu a dobře udržovanými zálohami uživatelé výrazně snižují svou expozici vůči hrozbám, jako je Zeo Ransomware, a jsou lépe připraveni na rychlou obnovu v případě útoku.

 

System Messages

The following system messages may be associated with Ransomware Zeo:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: nudasurg@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:nudasurg@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
all your data has been locked us

You want to return?

write email nudasurg@tuta.io or nudasurg@cyberfear.com

Související příspěvky

Trendy

Podvod s e-mailem s výměnou bezpečnostních informací

Phishing, Spam
Kyberzločinci i nadále maskují své schémata jako rutinní oznámení týkající se účtů v naději, že uživatelé zareagují, aniž by zpochybňovali jejich pravost. Jednou z takových operací je tzv. podvod s nahrazováním bezpečnostních informací, jehož cílem je shromažďovat citlivá data pod rouškou naléhavé bezpečnostní aktualizace. Tyto e-maily nejsou spojeny s žádnými legitimními společnostmi,...

Nejvíce shlédnuto

Načítání...