Avanzi Ransomware

I løbet af undersøgelsen af potentielt truende software har cybersikkerhedsforskere identificeret en ransomware-variant kaldet Avanzi. Når det er lykkedes Avanzi at infiltrere en computer, udfører Avanzi en række skadelige handlinger, herunder kryptering af filer, ændring af deres filnavne, visning af en løsesumseddel til ofre og generering af en yderligere note i 'info.txt'-filen.

Ved infektion tilføjer Avanzi specifikke elementer til filnavne, nemlig offerets ID, e-mail-adressen 'avanziahelp@cock.li' og '.avan'-udvidelsen. For eksempel transformerer den en fil som '1.png' til '1.png.id-9ECFA74E.[avanziahelp@cock.li].avan' og '2.pdf' til '2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan,' og så videre. Et vigtigt aspekt at bemærke om Avanzi Ransomware er dens tilknytning til den berygtede Dharma- familie af malware-trusler.

Avanzi Ransomware kan forårsage alvorlig skade på kompromitterede enheder

Løsesedlen udstedt af Avanzi Ransomware begynder med en meddelelse, der informerer ofrene om, at alle deres filer har gennemgået kryptering, men forsikrer dem om muligheden for gendannelse. Ofre bliver bedt om at etablere kontakt med angriberne inden for en streng 12-timers tidsramme via den angivne e-mailadresse (avanziahelp@cock.li), med en alternativ e-mail (avanzirest@tuta.io) angivet i tilfælde af forsinket svar.

For at udvise en antydning af goodwill, lover notatet gratis dekryptering af op til tre filer, der beskriver specifikke betingelser for berettigelse. Desuden er ofre forsynet med vejledning om at erhverve Bitcoins, den foretrukne metode til løsesumsbetaling. Noten advarer eksplicit mod visse handlinger, såsom filomdøbning eller forsøg på tredjeparts dekryptering, for at forhindre permanent datatab eller modtagelighed for taktik.

Bemærkelsesværdig er Avanzis strategi med at kompromittere det målrettede systems primære forsvarsmekanisme ved at deaktivere firewallen. Desuden eliminerer det Shadow Volume Copies og lukker derved potentielle muligheder for datagendannelse. Ransomware udnytter sårbarheder i Remote Desktop Protocol (RDP)-tjenester for at lette uautoriseret adgang.

Avanzi anvender brute force og ordbogsangreb til at udnytte svage kontooplysninger, primært på systemer, der bruger RDP-tjenester. Malwarens vedholdenhed på det inficerede system giver anledning til betydelige bekymringer. Udover at kryptere og kompromittere systemet, indsamler Avanzi lokationsdata og kan selektivt udelukke foruddefinerede lokationer og derved forlænge dets virkning og varighed.

Sådan beskytter du dine enheder mod ransomware-trusler?

Beskyttelse af enheder mod ransomware-trusler indebærer anvendelse af en flerlagstilgang for at forbedre den overordnede cybersikkerhed. Her er nogle vigtige praksisser og anbefalinger:

• Hold software opdateret : Opdater regelmæssigt operativsystemer, sikkerhedssoftware og applikationer. Softwareopdateringer inkluderer ofte sikkerhedsrettelser, der adresserer sårbarheder, der udnyttes af ransomware.
• Installer pålidelig anti-malware-software : Brug velrenommeret sikkerhedssoftware til at give realtidsbeskyttelse mod forskellige trusler, herunder ransomware. Sørg for, at softwaren er indstillet til at opdatere og udføre regelmæssige scanninger automatisk.
• Sikkerhedskopier vigtige data : Sikkerhedskopier regelmæssigt kritiske data til en ekstern harddisk eller en sikker cloud-tjeneste. Dette sikrer, at selvom din enhed er kompromitteret, kan du gendanne dine filer uden at give efter for krav om løsesum.
• Brug stærke og unikke adgangskoder : Implementer stærke, unikke adgangskoder til alle konti og enheder. Undgå at bruge adgangskoder, der er let at gætte, og overvej at bruge en adgangskodeadministrator til at holde styr på komplekse legitimationsoplysninger.
• Udvis forsigtighed med e-mailvedhæftede filer og links : Vær på vagt over for uventede e-mails, især dem, der indeholder vedhæftede filer eller links. Undgå at åbne vedhæftede filer eller klikke på links fra ukendte eller mistænkelige kilder, da de kan indeholde ransomware eller anden malware.
• Uddan dig selv og brugere : Hold dig informeret om de seneste cybersikkerhedstrusler, og uddan dig selv og andre brugere om risikoen ved at klikke på ukendte links, downloade mistænkelige filer eller besøge utroværdige websteder.

Ved at anvende denne praksis kan brugere reducere risikoen for at blive ofre for ransomware betydeligt og forbedre den overordnede sikkerhedsposition for deres enheder.

Den fulde tekst af løsesumsedlen, der er genereret af Avanzi Ransomware på brudte enheder er:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.

Tekstfilen droppet af Avanzi Ransomware indeholder følgende besked:

alle dine data er blevet låst os

Vil du tilbage?

skriv e-mail avanziahelp@cock.li eller avanzirest@tuta.io'