Z1n lunavara
Pahavaraohtude uurimisel on teadlased tuvastanud Z1n Ransomware, mis heidab valgust selle pahatahtlikule olemusele. Z1n töötab lunavara variandina, kasutades tehnikat, kus see krüpteerib andmed ohustatud seadmetes ja nõuab seejärel dekrüpteerimise eest lunaraha.
Sihtseadmetes käivitamisel krüpteerib Z1n failid, muutes need kättesaamatuks ja muutes nende failinimesid. Algsete failide pealkirjad muudetakse, lisades ohvrile eksklusiivse ID, ründajate e-posti aadressi ja laiendi ".z1n". Näiteks fail algselt nimega "1.doc" muudetaks failiks "1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n."
Pärast krüpteerimisprotsessi genereerib Z1n lunaraha märkmed hüpikakna ja tekstifailina nimega "read.txt". Märkimisväärne on see, et tekstifailidena tarnitud lunarahad hoiustatakse töölaual ja kõigis krüptitud kataloogides. Teadlaste oluline avastus on see, et Z1n on seotud Dharma Ransomware perekonnaga, pakkudes teavet selle klassifikatsiooni ja päritolu kohta.
Sisukord
Z1n lunavara võib nakatunud seadmeid oluliselt kahjustada
Z1n on identifitseeritud Dharma Ransomware perekonna liikmena, mis eristab ennast sellega, et väldib nakatunud seadme töövõimetuks muutmist kriitiliste süsteemifailide tahtliku krüptimise tõttu. Nimelt on selle strateegilise lähenemisviisi eesmärk tagada, et süsteemi olulised funktsioonid ei muutuks, võimaldades nakatunud seadmel lunavarategevusest hoolimata töövõimetuks jääda.
Lisaks sellele ainulaadsele omadusele näitavad Dharma Ransomware variandid, sealhulgas Z1n, geograafilise asukoha andmete kogumisel pärast sissetungimist keerukat käitumist. Neid andmeid kasutatakse seejärel krüpteerimise teostatavuse hindamiseks, võttes arvesse näiteks selliste masinate vältimist, mis asuvad majanduslikult nõrkades piirkondades või riikides, kus on ühtlustunud poliitiline või geopoliitiline ideoloogia.
Süsteemi sissetungimisel keelavad need lunavaraprogrammid tulemüüri ja loovad püsivuse kahe mehhanismi kaudu. Esiteks, kopeerides pahavara %LOCALAPPDATA% teele ja registreerides selle konkreetsete Run-võtmetega ning teiseks käivitades pahavara automaatselt pärast iga süsteemi taaskäivitamist.
Dharma lunavara, sealhulgas Z1n, kasutab krüpteerimisstrateegiat, mis hõlmab nii kohalikke kui ka võrgus jagatud faile. Failide "kasutuses olemisest" tingitud erandite vältimiseks lõpetab lunavara avatud failidega seotud protsessid, sealhulgas andmebaasiprogrammid ja tekstifaililugejad.
Märkimisväärne funktsioon on lunavara püüd vältida topeltkrüpteerimist, järgides välistamisloendit andmete jaoks, mis on juba muu lunavara poolt lukustatud. Siiski tunnistatakse, et see protsess ei ole lollikindel, kuna see ei pruugi hõlmata kõiki sarnase iseloomuga nakkusi. Dharma muudab andmete taastamise võimalused veelgi keerulisemaks, kustutades varjuköite koopiad, piirates võimalikke võimalusi krüptitud failide taastamiseks.
Z1n lunavara ohvritele jäetakse juhised lunaraha maksmiseks
Z1n Ransomware'iga seotud tekstifail on ohvrile lühike suhtlus, teavitades teda, et tema andmed on lukustatud. See julgustab ohvrit taastamisprotsessi alustamiseks ründajatega kontakti looma. Seevastu lunavaranakkusega kaasnev hüpikteade annab täpsemat teavet. Selles mainitakse selgesõnaliselt, et ligipääsmatuks muudetud failid on krüptitud. Kuigi märkuses hoidutakse sõnaselgelt ütlemast, et dekrüpteerimiseks on vaja lunaraha maksta, viitab see tugevalt sellisele nõudele.
Püüdes pakkuda taastamise garantii sarnast, pikendab sõnum tasuta dekrüpteerimistesti pakkumist. See test võimaldab ohvril hinnata taastamise võimalust kolme faili puhul, millest igaüks ei ületa 5 MB ja millel puuduvad kriitilised andmed. Siiski on tähelepanuväärne, et ohvrit hoiatatakse kolmandatelt isikutelt (vahendajatelt) abi otsimise eest ja teda ei soovitata mõjutatud failides muudatusi tegemast. Need hoiatused rõhutavad lunavaraoperaatorite rõhuasetust otsesuhtlusele ja võimaliku andmete taastamise protsesside järgimisele.
Eksperdid ei soovita küberkurjategijatele raha anda
Lunavaraohtudega krüptitud failide dekrüpteerimine nõuab tavaliselt ründajate sekkumist, muutes taastamise keeruliseks protsessiks. Erandid sellest reeglist on haruldased ja hõlmavad sageli juhtumeid, kus lunavaral on olulisi vigu.
Ohvrid, kes täidavad lunarahanõudeid, võivad siiski leida end ilma vajalike dekrüpteerimisvõtmete või tööriistadeta. See ettearvamatus rõhutab küberkurjategijate ebausaldusväärsust lubaduste täitmisel, mistõttu on tungivalt soovitatav mitte teha makseid ega järgida nende pahatahtlike osalejate juhiseid. Selliste toimingute tegemine mitte ainult ei taga failide taastamist, vaid toetab ja põlistab ka kuritegelikku tegevust.
Oluline on märkida, et kuigi lunavara eemaldamine operatsioonisüsteemist hoiab ära edasise krüptimise, ei taasta see automaatselt varem ohustatud andmeid. Andmete ohutuse suurendamiseks on soovitatav teha varukoopiaid mitmes kohas, näiteks lahtiühendatud salvestusseadmetes ja kaugserverites. See mitmekülgne lähenemine varundussalvestusele aitab leevendada lunavararünnakute mõju ja tagab tugevama andmete taastamise strateegia.
Hüpikaknas ohvritele kuvatav lunaraha on järgmine:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
