Multi-License Discount Quote
מסד נתונים של איומים Ransomware Z1n Ransomware

Z1n Ransomware

עד Mezo ב-Ransomware
לתרגם ל:
עברית

בזמן חקירת איומי תוכנות זדוניות, חוקרים זיהו את תוכנת הכופר Z1n, ושופכים אור על אופייה הזדוני. Z1n פועלת כגרסה של תוכנת כופר, תוך שימוש בטכניקה שבה היא מצפינה נתונים במכשירים שנפגעו ולאחר מכן דורשת כופר עבור פענוח.

עם ביצוע במכשירים ממוקדים, Z1n מצפין קבצים, הופך אותם לבלתי נגישים ומשנה את שמות הקבצים שלהם. כותרות הקבצים המקוריות עוברות שינוי, עם מזהה בלעדי שהוקצה לקורבן, כתובת הדואר האלקטרוני של התוקפים וסיומת '.z1n'. לדוגמה, קובץ שנקרא במקור '1.doc' יהפוך ל-'1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.'

לאחר תהליך ההצפנה, Z1n מייצר הערות כופר בצורת חלון מוקפץ וקובץ טקסט בשם 'read.txt'. יש לציין שפתקי הכופר המועברים כקובצי טקסט מופקדים על שולחן העבודה ובתוך כל הספריות המוצפנות. גילוי משמעותי של החוקרים הוא ש-Z1n מזוהה עם משפחת Dharma Ransomware , ומספקת תובנות לגבי סיווגה ומקורה.

תוכנת הכופר Z1n יכולה לגרום לנזק משמעותי למכשירים נגועים

Z1n מזוהה כחבר במשפחת Dharma Ransomware, המייחדת את עצמה בכך שהיא נמנעת מהפיכת המכשיר הנגוע לבלתי פעיל באמצעות השמטה מכוונת של הצפנת קבצי מערכת קריטיים. יש לציין, שגישה אסטרטגית זו שואפת להבטיח שפונקציות מערכת חיוניות לא יושפעו, מה שמאפשר למכשיר הנגוע להישאר פעיל למרות פעילות תוכנת הכופר.

בנוסף למאפיין הייחודי הזה, גרסאות Dharma Ransomware, כולל Z1n, מפגינות התנהגות מתוחכמת של איסוף נתוני מיקום גיאוגרפי לאחר החדירה. לאחר מכן משתמשים בנתונים אלה כדי להעריך את כדאיות המשך ההצפנה, תוך שיקולים כגון הימנעות ממכונות הממוקמות באזורים חלשים מבחינה כלכלית או כאלו במדינות עם אידיאולוגיות פוליטיות או גיאופוליטיות מתואמות.

עם חדירת מערכת, תוכנות כופר אלה משביתות את חומת האש ומבססות התמדה באמצעות שני מנגנונים. ראשית, על ידי העתקת התוכנה הזדונית לנתיב %LOCALAPPDATA% ורישוםו באמצעות מקשי הפעלה ספציפיים, ושנית, על ידי הפעלה אוטומטית של התוכנה הזדונית לאחר כל אתחול מחדש של המערכת.

תוכנת הכופר של Dharma, כולל Z1n, משתמשת באסטרטגיית הצפנה המקיפה קבצים מקומיים וקבצים משותפים ברשת. כדי למנוע פטורים עקב קבצים שנחשבים "בשימוש", תוכנת הכופר מפסיקה תהליכים הקשורים לקבצים שנפתחו, לרבות תוכנות מסד נתונים וקוראי קבצי טקסט.

תכונה בולטת היא המאמץ של תוכנת הכופר להימנע מהצפנה כפולה על ידי ביצוע רשימת אי הכללה עבור נתונים שכבר ננעלו על ידי תוכנות כופר אחרות. עם זאת, ידוע שתהליך זה אינו חסין תקלות, מכיוון שהוא עשוי שלא לכסות את כל הזיהומים בעלי אופי דומה. Dharma מסבכת עוד יותר את אפשרויות שחזור הנתונים על ידי מחיקת עותקי ה-Shadow Volume, ומגבילה את הדרכים הפוטנציאליות לשחזור קבצים מוצפנים.

קורבנות של תוכנת הכופר Z1n נותרו עם הוראות לבצע תשלומי כופר

קובץ הטקסט המשויך ל-Z1n Ransomware משמש כתקשורת קצרה לקורבן, המודיע לו שהנתונים שלהם ננעלו. זה מעודד את הקורבן ליצור קשר עם התוקפים כדי להתחיל את תהליך ההחלמה. מצד שני, ההודעה הקופצת המלווה את ההדבקה בתוכנת הכופר מספקת מידע מפורט יותר. הוא מזכיר במפורש שהקבצים שהפכו לבלתי נגישים הוצפנו. בעוד שהפתק נמנע מלציין במפורש שתשלום כופר הכרחי לפענוח, הוא מרמז מאוד על דרישה כזו.

בניסיון לספק מראית עין של ערבות שחזור, ההודעה מרחיבה הצעה לבדיקת פענוח בחינם. בדיקה זו מאפשרת לקורבן להעריך את אפשרות השחזור בשלושה קבצים, שכל אחד מהם אינו עולה על 5MB בגודל וחסר נתונים קריטיים. עם זאת, ראוי לציין כי הנפגע מוזהר מפני פנייה לסיוע מצדדים שלישיים (מתווכים) ומומלץ שלא לבצע שינויים בתיקים המושפעים. אזהרות אלו מדגישות את הדגש של מפעילי תוכנות הכופר על תקשורת ישירה והקפדה על התהליכים שצוינו לשחזור נתונים פוטנציאליים.

מומחים לא מעודדים לתת כל כסף לפושעי סייבר

פענוח קבצים המוצפנים על ידי איומי תוכנות כופר דורש בדרך כלל התערבות של התוקפים, מה שהופך את השחזור לתהליך מאתגר. חריגים לכלל זה הם נדירים ולעתים קרובות כוללים מקרים שבהם לתוכנת הכופר יש פגמים משמעותיים.

קורבנות שייענו לדרישות כופר עלולים עדיין למצוא את עצמם ללא מפתחות הפענוח או הכלים הדרושים. חוסר הניבוי הזה מדגיש את חוסר האמינות של פושעי סייבר בעמידה בהבטחות, מה שהופך אותו להמליץ בחום לא לבצע תשלומים כלשהם או לעקוב אחר הוראות של שחקנים זדוניים אלה. עיסוק בפעולות כאלה לא רק שלא מבטיח שחזור קבצים אלא גם תומך ומנציח את הפעילות הפלילית.

חשוב לציין שבעוד שהסרת תוכנות כופר ממערכת ההפעלה מונעת הצפנות נוספות, היא לא משחזרת באופן אוטומטי נתונים שנפגעו בעבר. כדי לשפר את בטיחות הנתונים, מומלץ לשמור גיבויים במספר מיקומים, כגון התקני אחסון מנותקים ושרתים מרוחקים. גישה רב-גונית זו לאחסון גיבוי עוזרת להפחית את ההשפעה של התקפות כופר ומבטיחה אסטרטגיית שחזור נתונים חזקה יותר.

שטר הכופר שמוצג לקורבנות בחלון מוקפץ הוא:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.

We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.

Please note that these files should not contain important and critical data.

Demo recovery is intended to demonstrate our skills and capabilities.

---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.

We use advanced technology and techniques to maximize the likelihood of a successful recovery.

---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.

We appreciate your participation and feedback.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files created by Z1n Ransomware contain the following message:

all your data has been locked us

You want to return?

write email zohodzin@tuta.io or zohodzin@cock.li'

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
33,334
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...