Z1n Ransomware
Mens de undersøgte malware-trusler, har forskere identificeret Z1n Ransomware, hvilket kaster lys over dens ondsindede natur. Z1n fungerer som en ransomware-variant, der anvender en teknik, hvor den krypterer data på kompromitterede enheder og efterfølgende kræver løsesum for dekryptering.
Ved udførelse på målrettede enheder krypterer Z1n filer, gør dem utilgængelige og ændrer deres filnavne. De originale filtitler gennemgår en transformation med et eksklusivt ID tildelt til offeret, angribernes e-mailadresse og tilføjet en '.z1n'-udvidelse. For eksempel vil en fil, der oprindeligt hedder '1.doc', blive transformeret til '1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.'
Efter krypteringsprocessen genererer Z1n løsesumsedler i form af et pop op-vindue og en tekstfil med navnet 'read.txt'. Navnlig er løsesumsedlerne, der leveres som tekstfiler, deponeret på skrivebordet og i alle krypterede mapper. En væsentlig afsløring fra forskerne er, at Z1n er tilknyttet Dharma Ransomware- familien, hvilket giver indsigt i dens klassificering og oprindelse.
Indholdsfortegnelse
Z1n Ransomware kan forårsage betydelig skade på inficerede enheder
Z1n er identificeret som et medlem af Dharma Ransomware-familien, som udmærker sig ved at undgå at gøre den inficerede enhed ubrugelig gennem bevidst udeladelse af kryptering af kritiske systemfiler. Navnlig sigter denne strategiske tilgang på at sikre, at væsentlige systemfunktioner forbliver upåvirkede, hvilket gør det muligt for den inficerede enhed at forblive operationel på trods af ransomware-aktiviteten.
Ud over denne unikke egenskab udviser Dharma Ransomware-varianterne, inklusive Z1n, en sofistikeret adfærd med at indsamle geolokationsdata efter infiltration. Disse data bruges derefter til at vurdere gennemførligheden af at fortsætte med kryptering, med overvejelser som at undgå maskiner, der er placeret i økonomisk svage regioner eller i lande med ensartede politiske eller geopolitiske ideologier.
Når de infiltrerer et system, deaktiverer disse ransomware-programmer firewallen og etablerer persistens gennem to mekanismer. For det første ved at kopiere malwaren til %LOCALAPPDATA%-stien og registrere den med specifikke Run-nøgler, og for det andet ved automatisk at starte malwaren efter hver systemgenstart.
Dharma ransomware, inklusive Z1n, anvender en krypteringsstrategi, der omfatter både lokale og netværksdelte filer. For at forhindre undtagelser på grund af, at filer betragtes som "i brug", afslutter ransomware processer forbundet med åbnede filer, herunder databaseprogrammer og tekstfillæsere.
En bemærkelsesværdig funktion er ransomwarens indsats for at undgå dobbeltkryptering ved at følge en ekskluderingsliste for data, der allerede er låst af anden ransomware. Det anerkendes dog, at denne proces ikke er idiotsikker, da den muligvis ikke dækker alle infektioner af lignende karakter. Dharma komplicerer mulighederne for datagendannelse yderligere ved at slette Shadow Volume Copies, hvilket begrænser de potentielle muligheder for at gendanne krypterede filer.
Ofre for Z1n Ransomware er tilbage med instruktioner til at foretage løsepengebetalinger
Tekstfilen, der er knyttet til Z1n Ransomware, tjener som en kort kommunikation til offeret, der giver dem besked om, at deres data er blevet låst. Det opfordrer offeret til at etablere kontakt med angriberne for at indlede genopretningsprocessen. På den anden side giver pop-up-meddelelsen, der ledsager ransomware-infektionen, mere detaljerede oplysninger. Den nævner udtrykkeligt, at de filer, der er gjort utilgængelige, er blevet krypteret. Mens noten afholder sig fra eksplicit at angive, at betaling af løsesum er nødvendig for dekryptering, indebærer det stærkt et sådant krav.
I et forsøg på at give et udseende af en gendannelsesgaranti, udvider meddelelsen et tilbud om en gratis dekrypteringstest. Denne test giver offeret mulighed for at vurdere muligheden for gendannelse på tre filer, der hver ikke overstiger 5MB i størrelse og uden kritiske data. Det er dog bemærkelsesværdigt, at offeret advares mod at søge bistand fra tredjeparter (mellemmænd) og frarådes at foretage ændringer i de berørte filer. Disse advarsler understreger ransomware-operatørernes vægt på direkte kommunikation og overholdelse af deres specificerede processer for potentiel datagendannelse.
Eksperter fraråder at give penge til cyberkriminelle
Dekrypteringen af filer krypteret af ransomware-trusler kræver typisk angribernes indgriben, hvilket gør gendannelse til en udfordrende proces. Undtagelser fra denne regel er sjældne og involverer ofte tilfælde, hvor ransomwaren har betydelige fejl.
Ofre, der overholder krav om løsesum, kan stadig finde sig selv uden de nødvendige dekrypteringsnøgler eller værktøjer. Denne uforudsigelighed understreger cyberkriminelles upålidelighed, når de lever op til løfter, hvilket gør det stærkt frarådt at foretage nogen betalinger eller følge instruktioner fra disse ondsindede aktører. At engagere sig i sådanne handlinger garanterer ikke kun filgendannelse, men understøtter og fastholder også den kriminelle aktivitet.
Det er afgørende at bemærke, at selvom fjernelse af ransomware fra operativsystemet forhindrer yderligere kryptering, gendanner det ikke automatisk tidligere kompromitterede data. For at øge datasikkerheden anbefales det at vedligeholde sikkerhedskopier flere steder, såsom ikke-tilsluttede lagerenheder og fjernservere. Denne mangefacetterede tilgang til backup-lagring hjælper med at afbøde virkningen af ransomware-angreb og sikrer en mere robust datagendannelsesstrategi.
Løsesedlen, der vises til ofrene i et pop op-vindue, er:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
