Avanzi Ransomware

Mahdollisesti uhkaavia ohjelmistoja tutkiessaan kyberturvallisuustutkijat ovat tunnistaneet Avanzi-nimellä tunnetun kiristysohjelmaversion. Kun Avanzi on tunkeutunut tietokoneelle onnistuneesti, se suorittaa joukon haitallisia toimia, kuten salaa tiedostoja, muuttaa niiden tiedostonimiä, näyttää uhreille lunnaat ja luo lisähuomautuksen "info.txt"-tiedostoon.

Tartunnan yhteydessä Avanzi liittää tiedostonimiin tiettyjä elementtejä, nimittäin uhrin tunnuksen, sähköpostiosoitteen 'avanziahelp@cock.li' ja '.avan'-tunnisteen. Se esimerkiksi muuntaa tiedoston, kuten '1.png' muotoon '1.png.id-9ECFA74E.[avanziahelp@cock.li].avan' ja '2.pdf':n muotoon '2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan ja niin edelleen. Tärkeä huomioitava seikka Avanzi Ransomwaressa on sen yhteys surullisen Dharma -haittaohjelmauhkien perheeseen.

Avanzi Ransomware voi aiheuttaa vakavaa vahinkoa vaarantuneille laitteille

Avanzi Ransomwaren julkaisema lunnasilmoitus alkaa ilmoituksella, jossa uhreille kerrotaan, että kaikki heidän tiedostonsa on salattu, mutta vakuutetaan heille palautumismahdollisuudesta. Uhreja ohjataan ottamaan yhteyttä hyökkääjiin tiukan 12 tunnin sisällä määritellyn sähköpostiosoitteen (avanziahelp@cock.li) kautta. Vaihtoehtoinen sähköposti (avanzirest@tuta.io) tarjotaan viivästyneiden vastaustapausten varalta.

Liikearvon näyttämiseksi muistiinpano lupaa ilmaisen salauksen purkamisen enintään kolmelle tiedostolle, ja siinä esitetään erityiset kelpoisuusehdot. Lisäksi uhreille annetaan opastusta Bitcoinien hankkimiseen, joka on suosituin lunnaiden maksutapa. Huomautus varoittaa nimenomaisesti tietyistä toimista, kuten tiedostojen uudelleennimeämisestä tai kolmannen osapuolen salauksenpurkuyrityksistä, jotta estetään pysyvä tietojen menetys tai taktiikkaherkkyys.

Huomionarvoista on Avanzin strategia vaarantaa kohteena olevan järjestelmän ensisijainen puolustusmekanismi poistamalla palomuuri käytöstä. Lisäksi se eliminoi Shadow Volume -kopiot ja sulkee siten mahdolliset tiedon palautusmahdollisuudet. Kiristysohjelma hyödyntää Remote Desktop Protocol (RDP) -palveluiden haavoittuvuuksia helpottaakseen luvatonta käyttöä.

Avanzi käyttää raakaa voimaa ja sanakirjahyökkäyksiä hyödyntääkseen heikkoja käyttäjätunnuksia, pääasiassa RDP-palveluita käyttävissä järjestelmissä. Haittaohjelman pysyvyys tartunnan saaneessa järjestelmässä herättää merkittäviä huolenaiheita. Järjestelmän salaamisen ja vaarantamisen lisäksi Avanzi kerää sijaintitietoja ja voi valikoivasti sulkea pois ennalta määritettyjä paikkoja, mikä pidentää sen vaikutusta ja kestoa.

Kuinka suojata laitteitasi kiristysohjelmien uhilta?

Laitteiden suojaaminen ransomware-uhkilta edellyttää monitasoista lähestymistapaa yleisen kyberturvallisuuden parantamiseksi. Tässä on joitain keskeisiä käytäntöjä ja suosituksia:

• Pidä ohjelmistot päivitettyinä : Päivitä käyttöjärjestelmät, tietoturvaohjelmistot ja -sovellukset säännöllisesti. Ohjelmistopäivitykset sisältävät usein tietoturvakorjauksia, jotka korjaavat kiristysohjelmien käyttämiä haavoittuvuuksia.
• Asenna luotettava haittaohjelmien torjuntaohjelmisto : Käytä hyvämaineisia tietoturvaohjelmistoja tarjotaksesi reaaliaikaista suojausta erilaisia uhkia, mukaan lukien kiristysohjelmia, vastaan. Varmista, että ohjelmisto on asetettu päivittämään ja suorittamaan säännölliset tarkistukset automaattisesti.
• Varmuuskopioi tärkeät tiedot : Varmuuskopioi säännöllisesti tärkeitä tietoja ulkoiselle kiintolevylle tai suojattuun pilvipalveluun. Tämä varmistaa, että vaikka laitteesi vaarantuisi, voit palauttaa tiedostosi ilman, että joudut lunnaita koskeviin vaatimuksiin.
• Käytä vahvoja ja ainutlaatuisia salasanoja : Ota käyttöön vahvat, yksilölliset salasanat kaikille tileille ja laitteille. Vältä helposti arvattavien salasanojen käyttöä ja harkitse salasanojen hallintaohjelman käyttöä monimutkaisten tunnistetietojen kirjaamiseen.
• Ole varovainen sähköpostin liitteiden ja linkkien kanssa : Varo odottamattomia sähköposteja, erityisesti liitteitä tai linkkejä sisältäviä. Vältä liitteiden avaamista tai tuntemattomista tai epäilyttävistä lähteistä peräisin olevien linkkien napsauttamista, koska ne voivat sisältää kiristysohjelmia tai muita haittaohjelmia.
• Kouluta itseäsi ja käyttäjiä : Pysy ajan tasalla uusimmista kyberturvallisuusuhkista ja valista itsellesi ja muille käyttäjille tuntemattomien linkkien napsauttaminen, epäilyttävien tiedostojen lataaminen tai epäluotettavilla verkkosivustoilla käyminen.

Ottamalla nämä käytännöt käyttöön käyttäjät voivat vähentää merkittävästi riskiä joutua kiristysohjelmien uhriksi ja parantaa laitteidensa yleistä suojausasentoa.

Avanzi Ransomwaren rikotuille laitteille luoman lunnasilmoituksen koko teksti on:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Huomio!
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolten avulla voi aiheuttaa hinnan nousun (he lisäävät maksunsa meidän hintaan) tai voit joutua huijauksen uhriksi.

Avanzi Ransomwaren pudottama tekstitiedosto sisältää seuraavan viestin:

kaikki tietosi on lukittu meille

Haluatko palata?

kirjoita sähköpostia avanziahelp@cock.li tai avanzirest@tuta.io'