ZILLA (Dharma) Ransomware

I nutidens digitale tidsalder er beskyttelse af enheder og data mod malware-trusler mere afgørende end nogensinde. Ransomware, en særlig truende type malware, kan gøre kritiske filer utilgængelige og forstyrre personlige og professionelle aktiviteter. Brugere skal være årvågne og proaktive med at beskytte deres systemer mod sådanne trusler for at undgå potentielt datatab, økonomisk skade og driftsnedetid.

En oversigt over ZILLA Ransomware

ZILLA Ransomware er en nyligt opdaget variant, der tilhører den berygtede Dharma-familie. Når først det infiltrerer et system, krypterer ZILLA filer, omdøber dem og viser løsesumsedler både som pop-ups og tekstfiler med navnet 'ZILLA-INFO.txt.' Denne malware er designet til at tvinge ofre til at betale en løsesum for dekryptering af deres filer, ved at bruge frygt og hastende til at manipulere dem til at overholde reglerne.

Filkryptering og omdøbning

Ved infektion krypterer ZILLA filer og ændrer deres navne, så de inkluderer offerets ID, e-mailadressen filezilla@cock.li og '.ZILLA'-udvidelsen. For eksempel vil en fil, der oprindeligt hedder '1.png', blive omdøbt til '1.png.id-9ECFA84E.[filezilla@cock.li]. ZILLA'. Dette omdøbningsmønster gælder for alle berørte filer, hvilket gør det tydeligt, hvilke filer der er blevet kompromitteret.

Oplysninger om løsesum

ZILLA Ransomware præsenterer sine ofre for en løsesumseddel, der instruerer dem om at kontakte de cyberkriminelle via e-mail (filezilla@cock.li) og inkludere deres offer-id. Hvis der ikke modtages noget svar inden for 12 timer, bliver ofrene bedt om at kontakte en alternativ e-mail, filezilla@cyberfear.com. Noten tilbyder også en begrænset gratis dekrypteringstjeneste for op til tre filer (mindre end 3 MB hver) for at demonstrere dekrypteringsevnen, advare mod at omdøbe filer eller bruge tredjeparts dekrypteringsværktøjer på grund af risikoen for permanent datatab.

Karakteristika for Dharma Ransomware-familien

ZILLA er en del af Dharma- familien, en gruppe af ransomware kendt for flere karakteristiske egenskaber:

Omfattende filkryptering

Dharma Ransomware krypterer filer, der er gemt både lokalt og på netværksdelte drev, hvilket øger omfanget af dens virkning betydeligt.

Systemdeaktiveringstaktik

For at forhindre ofre i at afbøde skaden, deaktiverer Dharma ransomware systemets firewall og sletter Shadow Volume Copies, som typisk bruges til at gendanne tidligere versioner af filer.

Persistensmekanismer

Dharma-varianter, inklusive ZILLA, sikrer deres vedholdenhed på inficerede systemer ved at kopiere sig selv til '%LOCALAPPDATA%'-biblioteket og registrere med specifikke Run-nøgler i Windows-registreringsdatabasen. Dette gør det muligt for ransomware at køre hver gang systemet starter.

Dataindsamling og ekskluderinger

Disse ransomware-varianter indsamler også lokationsdata og kan udelukke visse forudbestemte lokationer fra kryptering, potentielt for at undgå påvisning eller interferens med specifikke regioner.

Sikkerhedsforanstaltninger til beskyttelse mod ransomware

I betragtning af de farlige konsekvenser af et ransomware-angreb er det yderst nødvendigt, at brugere implementerer robuste sikkerhedsforanstaltninger for at forsvare deres enheder og data:

• Regelmæssige sikkerhedskopier af data : Vedligehold rutinemæssige sikkerhedskopier af vigtige filer på fjernservere eller offline lagerenheder. Dette sikrer, at data kan gendannes uden at betale løsesum.
• Brug af anti-malware-software : Anvend velrenommeret anti-malware-software til at afsløre og blokere ransomware, før det kan forårsage skade.
• System- og softwareopdateringer : Opdater regelmæssigt operativsystemer og software for at rette sårbarheder, som ransomware kunne udnytte.
• E-mail og websikkerhed : Vær forsigtig med vedhæftede filer og links, da ransomware ofte spredes gennem phishing-e-mails. Brug e-mail-filtreringsværktøjer og websikkerhedsløsninger for at minimere risikoen for eksponering.
• Firewall- og indtrængningsdetektionssystemer : Konfigurer firewalls og brug indtrængningsdetektionssystemer til at overvåge og blokere mistænkelig netværksaktivitet.
• Deaktiver RDP (Remote Desktop Protocol) : Deaktiver RDP, hvis det ikke er nødvendigt, eller i det mindste sikre det med stærke adgangskoder og multifaktorgodkendelse for at forhindre uautoriseret adgang.
• Brugertræning og bevidsthed : Undervis brugerne om risiciene ved ransomware og bedste praksis for at undgå infektion, såsom genkendelse af phishing-forsøg og undgå mistænkelige downloads.

Ransomware, især varianter som ZILLA, truer datasikkerheden betydeligt. Ved at forstå mekanismerne bag ransomware og implementere omfattende sikkerhedsforanstaltninger kan brugere beskytte deres systemer og data mod disse skadelige angreb. Regelmæssig sikkerhedskopiering, robust sikkerhedssoftware og brugerbevågenhed er grundlæggende komponenter i en effektiv forsvarsstrategi mod ransomware.

Løsesedlen, der vises af ZILLA Ransomware som et nyt vindue, lyder:

'ZILLA
Don't worry, you can return all your files!
If you want to restore them, write to the mail: filezilla@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:filezilla@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by ZILLA Ransomware contains the following message from the attackers:

all your data has been locked us

You want to return?

write email filezilla@cock.li or filezilla@cyberfear.com'