باج افزار Z1n

در حین بررسی تهدیدات بدافزار، محققان باج‌افزار Z1n را شناسایی کرده‌اند و ماهیت مخرب آن را روشن می‌کنند. Z1n به عنوان یک نوع باج افزار عمل می کند و از تکنیکی استفاده می کند که در آن داده ها را روی دستگاه های در معرض خطر رمزگذاری می کند و متعاقباً برای رمزگشایی باج می خواهد.

پس از اجرا در دستگاه های هدف، Z1n فایل ها را رمزگذاری می کند، آنها را غیرقابل دسترسی می کند و نام فایل های آنها را تغییر می دهد. عناوین فایل اصلی با یک شناسه انحصاری اختصاص داده شده به قربانی، آدرس ایمیل مهاجمان و پسوند ".z1n" تغییر شکل می دهند. به عنوان مثال، یک فایل با نام اصلی "1.doc" به "1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n تبدیل می شود."

پس از فرآیند رمزگذاری، Z1n یادداشت های باج را به شکل یک پنجره بازشو و یک فایل متنی به نام "read.txt" تولید می کند. قابل ذکر است، یادداشت های باج تحویل داده شده به عنوان فایل های متنی بر روی دسکتاپ و در همه فهرست های رمزگذاری شده ذخیره می شوند. یک افشاگری قابل توجه از سوی محققان این است که Z1n به خانواده باج افزار Dharma وابسته است و بینش هایی را در مورد طبقه بندی و منشاء آن ارائه می دهد.

باج افزار Z1n می تواند آسیب قابل توجهی به دستگاه های آلوده وارد کند

Z1n به عنوان عضوی از خانواده باج‌افزار Dharma شناخته می‌شود، که با اجتناب از غیرقابل‌کارکردن دستگاه آلوده از طریق حذف عمدی رمزگذاری فایل‌های مهم سیستم، خود را متمایز می‌کند. نکته قابل توجه این است که هدف این رویکرد استراتژیک اطمینان از بی‌تأثیر ماندن عملکردهای اساسی سیستم است و به دستگاه آلوده اجازه می‌دهد علی‌رغم فعالیت باج‌افزار، عملیاتی بماند.

علاوه بر این ویژگی منحصربه‌فرد، انواع باج‌افزار Dharma، از جمله Z1n، رفتار پیچیده‌ای در جمع‌آوری داده‌های موقعیت جغرافیایی پس از نفوذ از خود نشان می‌دهند. این داده‌ها سپس برای ارزیابی امکان‌سنجی رمزگذاری، با ملاحظاتی مانند اجتناب از ماشین‌هایی که در مناطق ضعیف اقتصادی یا در کشورهایی با ایدئولوژی‌های سیاسی یا ژئوپلیتیکی همسو هستند، استفاده می‌شود.

پس از نفوذ به یک سیستم، این برنامه های باج افزار فایروال را غیرفعال می کنند و از طریق دو مکانیسم پایداری را ایجاد می کنند. اولاً با کپی کردن بدافزار در مسیر %LOCALAPPDATA% و ثبت آن با کلیدهای Run خاص و ثانیاً با راه‌اندازی خودکار بدافزار پس از هر بار راه‌اندازی مجدد سیستم.

باج‌افزار دارما، از جمله Z1n، از یک استراتژی رمزگذاری استفاده می‌کند که هم فایل‌های محلی و هم فایل‌های مشترک شبکه را در بر می‌گیرد. برای جلوگیری از معافیت‌های ناشی از «در حال استفاده» بودن فایل‌ها، باج‌افزار فرآیندهای مرتبط با فایل‌های باز شده، از جمله برنامه‌های پایگاه داده و خواننده‌های فایل متنی را خاتمه می‌دهد.

یکی از ویژگی‌های قابل توجه تلاش باج‌افزار برای جلوگیری از رمزگذاری مضاعف با پیروی از فهرست محرومیت داده‌هایی است که قبلاً توسط سایر باج‌افزارها قفل شده‌اند. با این حال، اذعان می‌شود که این فرآیند بی‌خطا نیست، زیرا ممکن است همه عفونت‌های ماهیت مشابه را پوشش ندهد. دارما گزینه های بازیابی اطلاعات را با حذف کپی های حجم سایه پیچیده تر می کند و راه های بالقوه برای بازیابی فایل های رمزگذاری شده را محدود می کند.

برای قربانیان باج افزار Z1n دستورالعمل هایی برای پرداخت باج باقی مانده است

فایل متنی مرتبط با باج افزار Z1n به عنوان یک ارتباط کوتاه با قربانی عمل می کند و به آنها اطلاع می دهد که داده هایش قفل شده است. قربانی را تشویق می کند تا با مهاجمان تماس برقرار کند تا روند بازیابی را آغاز کند. از سوی دیگر، پیام پاپ آپ همراه با آلودگی باج افزار اطلاعات دقیق تری را ارائه می دهد. این به صراحت اشاره می کند که فایل های غیرقابل دسترسی رمزگذاری شده اند. در حالی که یادداشت از بیان صریح اینکه پرداخت باج برای رمزگشایی ضروری است خودداری می‌کند، اما به شدت بر چنین الزامی دلالت دارد.

در تلاشی برای ارائه ظاهری ضمانت بازیابی، پیام پیشنهادی را برای آزمایش رمزگشایی رایگان ارائه می‌کند. این تست به قربانی اجازه می‌دهد تا امکان بازیابی سه فایل را که هر کدام بیش از 5 مگابایت حجم ندارند و داده‌های حیاتی ندارند، ارزیابی کند. با این حال، قابل توجه است که قربانی از درخواست کمک از اشخاص ثالث (واسطه) اخطار می شود و توصیه می شود در پرونده های آسیب دیده تغییراتی ایجاد نکند. این هشدارها بر تاکید اپراتورهای باج افزار بر ارتباط مستقیم و پایبندی به فرآیندهای مشخص شده خود برای بازیابی اطلاعات بالقوه تاکید دارد.

کارشناسان از دادن هرگونه پول به مجرمان سایبری خودداری می کنند

رمزگشایی فایل های رمزگذاری شده توسط تهدیدات باج افزار معمولاً نیاز به مداخله مهاجمان دارد و بازیابی را به یک فرآیند چالش برانگیز تبدیل می کند. استثناهای این قانون نادر است و اغلب شامل مواردی است که باج افزار دارای نقص های قابل توجهی است.

قربانیانی که از درخواست های باج تبعیت می کنند ممکن است همچنان خود را بدون کلید یا ابزار رمزگشایی لازم بیابند. این غیرقابل پیش‌بینی بودن بر غیرقابل اعتماد بودن مجرمان سایبری در اجرای وعده‌ها تاکید می‌کند، و به آن توصیه اکید می‌شود که از انجام هرگونه پرداخت یا پیروی از دستورالعمل‌های این بازیگران مخرب خودداری شود. درگیر شدن در چنین اقداماتی نه تنها بازیابی پرونده را تضمین نمی کند، بلکه از فعالیت مجرمانه حمایت و تداوم می بخشد.

توجه به این نکته ضروری است که در حالی که حذف باج افزار از سیستم عامل از رمزگذاری بیشتر جلوگیری می کند، اما به طور خودکار داده های در معرض خطر قبلی را بازیابی نمی کند. برای افزایش ایمنی داده‌ها، توصیه می‌شود پشتیبان‌گیری را در مکان‌های مختلف، مانند دستگاه‌های ذخیره‌سازی بدون برق و سرورهای راه دور نگهداری کنید. این رویکرد چند وجهی برای ذخیره‌سازی پشتیبان به کاهش تأثیر حملات باج‌افزار کمک می‌کند و استراتژی بازیابی اطلاعات قوی‌تری را تضمین می‌کند.

یادداشت باج‌گیری که در یک پنجره بازشو به قربانیان نشان داده می‌شود:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.

We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.

Please note that these files should not contain important and critical data.

Demo recovery is intended to demonstrate our skills and capabilities.

---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.

We use advanced technology and techniques to maximize the likelihood of a successful recovery.

---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.

We appreciate your participation and feedback.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files created by Z1n Ransomware contain the following message:

all your data has been locked us

You want to return?

write email zohodzin@tuta.io or zohodzin@cock.li'