Multi-License Discount Quote
Βάση δεδομένων απειλών Ransomware Z1n Ransomware

Z1n Ransomware

Μέχρι το Mezo το Ransomware
Μετάφραση σε:
Ελληνικά

Κατά τη διερεύνηση απειλών κακόβουλου λογισμικού, οι ερευνητές εντόπισαν το Z1n Ransomware, ρίχνοντας φως στην κακόβουλη φύση του. Το Z1n λειτουργεί ως παραλλαγή ransomware, χρησιμοποιώντας μια τεχνική όπου κρυπτογραφεί δεδομένα σε παραβιασμένες συσκευές και στη συνέχεια απαιτεί λύτρα για αποκρυπτογράφηση.

Κατά την εκτέλεση σε στοχευμένες συσκευές, το Z1n κρυπτογραφεί τα αρχεία, καθιστώντας τα απρόσιτα και τροποποιώντας τα ονόματα των αρχείων τους. Οι αρχικοί τίτλοι αρχείων υπόκεινται σε μετασχηματισμό, με ένα αποκλειστικό αναγνωριστικό εκχωρημένο στο θύμα, τη διεύθυνση email των εισβολέων και μια επέκταση «.z1n» προσαρτημένη. Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.doc" θα μετατραπεί σε "1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n."

Μετά τη διαδικασία κρυπτογράφησης, το Z1n δημιουργεί σημειώσεις λύτρων με τη μορφή ενός αναδυόμενου παραθύρου και ενός αρχείου κειμένου με το όνομα «read.txt». Συγκεκριμένα, οι σημειώσεις λύτρων που παραδίδονται ως αρχεία κειμένου κατατίθενται στην επιφάνεια εργασίας και σε όλους τους κρυπτογραφημένους καταλόγους. Μια σημαντική αποκάλυψη από τους ερευνητές είναι ότι το Z1n συνδέεται με την οικογένεια Dharma Ransomware , παρέχοντας πληροφορίες για την ταξινόμηση και την προέλευσή του.

Το Z1n Ransomware μπορεί να προκαλέσει σημαντική ζημιά σε μολυσμένες συσκευές

Το Z1n αναγνωρίζεται ως μέλος της οικογένειας Dharma Ransomware, η οποία διακρίνεται αποφεύγοντας να καταστήσει τη μολυσμένη συσκευή μη λειτουργική μέσω της εσκεμμένης παράλειψης κρυπτογράφησης κρίσιμων αρχείων συστήματος. Συγκεκριμένα, αυτή η στρατηγική προσέγγιση στοχεύει να διασφαλίσει ότι οι βασικές λειτουργίες του συστήματος παραμένουν ανεπηρέαστες, επιτρέποντας στη μολυσμένη συσκευή να παραμείνει λειτουργική παρά τη δραστηριότητα ransomware.

Εκτός από αυτό το μοναδικό χαρακτηριστικό, οι παραλλαγές Dharma Ransomware, συμπεριλαμβανομένου του Z1n, παρουσιάζουν μια εξελιγμένη συμπεριφορά συλλογής δεδομένων γεωγραφικής θέσης μετά τη διείσδυση. Αυτά τα δεδομένα χρησιμοποιούνται στη συνέχεια για την αξιολόγηση της σκοπιμότητας της διαδικασίας κρυπτογράφησης, με λόγους όπως η αποφυγή μηχανημάτων που βρίσκονται σε οικονομικά αδύναμες περιοχές ή εκείνων σε χώρες με ευθυγραμμισμένες πολιτικές ή γεωπολιτικές ιδεολογίες.

Κατά την διείσδυση σε ένα σύστημα, αυτά τα προγράμματα ransomware απενεργοποιούν το τείχος προστασίας και εδραιώνουν την επιμονή μέσω δύο μηχανισμών. Πρώτον, αντιγράφοντας το κακόβουλο λογισμικό στη διαδρομή %LOCALAPPDATA% και καταχωρώντας το με συγκεκριμένα κλειδιά Εκτέλεσης και δεύτερον, εκκινώντας αυτόματα το κακόβουλο λογισμικό μετά από κάθε επανεκκίνηση του συστήματος.

Το Dharma ransomware, συμπεριλαμβανομένου του Z1n, χρησιμοποιεί μια στρατηγική κρυπτογράφησης που περιλαμβάνει τόσο τοπικά όσο και κοινά αρχεία δικτύου. Για να αποτρέψει τις εξαιρέσεις που οφείλονται σε αρχεία που θεωρούνται "σε χρήση", το ransomware τερματίζει διαδικασίες που σχετίζονται με ανοιχτά αρχεία, συμπεριλαμβανομένων προγραμμάτων βάσης δεδομένων και προγραμμάτων ανάγνωσης αρχείων κειμένου.

Ένα αξιοσημείωτο χαρακτηριστικό είναι η προσπάθεια του ransomware να αποφύγει τη διπλή κρυπτογράφηση ακολουθώντας μια λίστα εξαιρέσεων για δεδομένα που είναι ήδη κλειδωμένα από άλλα ransomware. Ωστόσο, αναγνωρίζεται ότι αυτή η διαδικασία δεν είναι αλάνθαστη, καθώς μπορεί να μην καλύπτει όλες τις λοιμώξεις παρόμοιας φύσης. Το Dharma περιπλέκει περαιτέρω τις επιλογές ανάκτησης δεδομένων διαγράφοντας τα Σκιώδη αντίγραφα τόμου, περιορίζοντας τις πιθανές οδούς για την επαναφορά κρυπτογραφημένων αρχείων.

Τα θύματα του Z1n Ransomware μένουν με οδηγίες για να πραγματοποιήσουν πληρωμές λύτρων

Το αρχείο κειμένου που σχετίζεται με το Z1n Ransomware χρησιμεύει ως μια σύντομη επικοινωνία με το θύμα, ειδοποιώντας το ότι τα δεδομένα του έχουν κλειδωθεί. Ενθαρρύνει το θύμα να έλθει σε επαφή με τους εισβολείς για να ξεκινήσει τη διαδικασία ανάκτησης. Από την άλλη πλευρά, το αναδυόμενο μήνυμα που συνοδεύει τη μόλυνση από ransomware παρέχει πιο λεπτομερείς πληροφορίες. Αναφέρει ρητά ότι τα αρχεία που κατέστησαν απρόσιτα έχουν κρυπτογραφηθεί. Ενώ το σημείωμα δεν αναφέρει ρητά ότι η πληρωμή λύτρων είναι απαραίτητη για την αποκρυπτογράφηση, υπονοεί έντονα μια τέτοια απαίτηση.

Σε μια προσπάθεια να παράσχει μια φαινομενική εγγύηση ανάκτησης, το μήνυμα επεκτείνει μια προσφορά για μια δωρεάν δοκιμή αποκρυπτογράφησης. Αυτή η δοκιμή επιτρέπει στο θύμα να αξιολογήσει τη δυνατότητα ανάκτησης σε τρία αρχεία, το καθένα δεν υπερβαίνει τα 5 MB σε μέγεθος και στερείται κρίσιμων δεδομένων. Ωστόσο, είναι αξιοσημείωτο ότι το θύμα προειδοποιείται να μην ζητήσει βοήθεια από τρίτους (μεσάζοντες) και συμβουλεύεται να μην κάνει τροποποιήσεις στα θιγόμενα αρχεία. Αυτές οι προειδοποιήσεις υπογραμμίζουν την έμφαση που δίνουν οι χειριστές ransomware στην άμεση επικοινωνία και την τήρηση των καθορισμένων διαδικασιών τους για πιθανή ανάκτηση δεδομένων.

Οι ειδικοί αποθαρρύνουν να δίνουν χρήματα σε εγκληματίες του κυβερνοχώρου

Η αποκρυπτογράφηση αρχείων που κρυπτογραφούνται από απειλές ransomware απαιτεί συνήθως την παρέμβαση των εισβολέων, καθιστώντας την ανάκτηση μια δύσκολη διαδικασία. Οι εξαιρέσεις σε αυτόν τον κανόνα είναι σπάνιες και συχνά αφορούν περιπτώσεις όπου το ransomware έχει σημαντικά ελαττώματα.

Τα θύματα που συμμορφώνονται με τις απαιτήσεις για λύτρα ενδέχεται να εξακολουθήσουν να βρεθούν χωρίς τα απαραίτητα κλειδιά ή εργαλεία αποκρυπτογράφησης. Αυτή η μη προβλεψιμότητα υπογραμμίζει την αναξιοπιστία των εγκληματιών του κυβερνοχώρου όσον αφορά την εκπλήρωση των υποσχέσεων, καθιστώντας τους σθεναρές συμβουλές να μην πραγματοποιούν πληρωμές ή να ακολουθούν οδηγίες από αυτούς τους κακόβουλους παράγοντες. Η συμμετοχή σε τέτοιες ενέργειες όχι μόνο αποτυγχάνει να εγγυηθεί την ανάκτηση αρχείων, αλλά επίσης υποστηρίζει και διαιωνίζει την εγκληματική δραστηριότητα.

Είναι σημαντικό να σημειωθεί ότι ενώ η κατάργηση ransomware από το λειτουργικό σύστημα αποτρέπει περαιτέρω κρυπτογραφήσεις, δεν επαναφέρει αυτόματα δεδομένα που είχαν παραβιαστεί στο παρελθόν. Για τη βελτίωση της ασφάλειας των δεδομένων, συνιστάται η διατήρηση αντιγράφων ασφαλείας σε πολλές τοποθεσίες, όπως αποσυνδεδεμένες συσκευές αποθήκευσης και απομακρυσμένοι διακομιστές. Αυτή η πολύπλευρη προσέγγιση για την αποθήκευση αντιγράφων ασφαλείας συμβάλλει στον μετριασμό των επιπτώσεων των επιθέσεων ransomware και διασφαλίζει μια πιο ισχυρή στρατηγική ανάκτησης δεδομένων.

Το σημείωμα λύτρων που εμφανίζεται στα θύματα σε ένα αναδυόμενο παράθυρο είναι:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.

We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.

Please note that these files should not contain important and critical data.

Demo recovery is intended to demonstrate our skills and capabilities.

---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.

We use advanced technology and techniques to maximize the likelihood of a successful recovery.

---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.

We appreciate your participation and feedback.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files created by Z1n Ransomware contain the following message:

all your data has been locked us

You want to return?

write email zohodzin@tuta.io or zohodzin@cock.li'

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
33,334
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...