Avanzi Ransomware
A potenciálisan fenyegető szoftverek vizsgálata során a kiberbiztonsági kutatók egy Avanzi néven emlegetett ransomware-változatot azonosítottak. Miután sikeresen behatolt egy számítógépre, az Avanzi egy sor káros műveletet hajt végre, beleértve a fájlok titkosítását, a fájlnevek módosítását, a váltságdíj feljegyzését az áldozatoknak, és egy további megjegyzést generál az „info.txt” fájlban.
Fertőzéskor az Avanzi meghatározott elemeket fűz a fájlnevekhez, nevezetesen az áldozat azonosítóját, az „avanziahelp@cock.li” e-mail címet és a „.avan” kiterjesztést. Például az „1.png”-hez hasonló fájlt „1.png.id-9ECFA74E.[avanziahelp@cock.li].avan”-ra, a „2.pdf”-et pedig „2.png.id-9ECFA74E”-re. avanziahelp@cock.li].avan,' és így tovább. Fontos megjegyezni az Avanzi Ransomware-rel kapcsolatban a hírhedt Dharma rosszindulatú fenyegetések családjával való kapcsolatát.
Az Avanzi Ransomware komoly károkat okozhat a kompromittált eszközökben
Az Avanzi Ransomware által kiadott váltságdíj feljegyzés egy bejelentéssel kezdődik, amelyben tájékoztatják az áldozatokat, hogy minden fájljukat titkosították, de biztosítja őket a helyreállítás lehetőségéről. Az áldozatokat a megadott e-mail címen (avanziahelp@cock.li) arra utasítják, hogy szigorúan 12 órás időkereten belül lépjenek kapcsolatba a támadókkal, és egy másik e-mail címet (avanzirest@tuta.io) biztosítanak a késedelmes válasz esetén.
A jóindulat látszatának bizonyítása érdekében a jegyzet legfeljebb három fájl ingyenes visszafejtését ígéri, felvázolva a jogosultság konkrét feltételeit. Ezenkívül az áldozatok útmutatást kapnak a váltságdíj fizetésének kedvelt módja, a Bitcoin megszerzéséhez. A megjegyzés kifejezetten figyelmeztet bizonyos műveletekre, mint például a fájlok átnevezésére vagy a harmadik fél általi visszafejtési kísérletekre, hogy megakadályozzák az állandó adatvesztést vagy a taktikára való hajlamot.
Figyelemre méltó az Avanzi stratégiája, amely szerint a tűzfal letiltásával veszélyezteti a célrendszer elsődleges védelmi mechanizmusát. Ezen túlmenően kiküszöböli az árnyékkötet-másolatokat, és ezzel lezárja az adat-helyreállítás lehetséges útjait. A zsarolóprogram kihasználja a Remote Desktop Protocol (RDP) szolgáltatások sérülékenységét, hogy megkönnyítse az illetéktelen hozzáférést.
Az Avanzi nyers erőt és szótári támadásokat alkalmaz a gyenge fiók hitelesítő adatainak kihasználására, elsősorban az RDP-szolgáltatásokat használó rendszereken. A rosszindulatú program fennmaradása a fertőzött rendszeren komoly aggályokat vet fel. A rendszer titkosításán és kompromittálásán túl az Avanzi helyadatokat gyűjt, és szelektíven kizárhat előre meghatározott helyeket, ezáltal meghosszabbítja hatását és időtartamát.
Hogyan védheti meg eszközeit a Ransomware fenyegetésektől?
Az eszközök védelme a ransomware-fenyegetések ellen többrétegű megközelítést foglal magában az általános kiberbiztonság fokozása érdekében. Íme néhány kulcsfontosságú gyakorlat és ajánlás:
- A szoftver frissítése : Rendszeresen frissítse az operációs rendszereket, a biztonsági szoftvereket és az alkalmazásokat. A szoftverfrissítések gyakran tartalmaznak biztonsági javításokat, amelyek a zsarolóvírusok által kihasznált sebezhetőségeket kezelik.
- Megbízható kártevő-elhárító szoftver telepítése : Használjon jó hírű biztonsági szoftvert, hogy valós idejű védelmet nyújtson a különféle fenyegetések, köztük a zsarolóprogramok ellen. Győződjön meg arról, hogy a szoftver frissítésre van beállítva, és rendszeres ellenőrzéseket hajt végre.
- Fontos adatok biztonsági mentése : Rendszeresen készítsen biztonsági másolatot a kritikus adatokról egy külső merevlemezre vagy egy biztonságos felhőszolgáltatásra. Ez biztosítja, hogy még akkor is visszaállíthassa fájljait, ha eszköze veszélybe kerülne, anélkül, hogy megadná magát a váltságdíj követeléseinek.
- Erős és egyedi jelszavak használata : Használjon erős, egyedi jelszavakat minden fiókhoz és eszközhöz. Kerülje a könnyen kitalálható jelszavak használatát, és fontolja meg egy jelszókezelő használatát az összetett hitelesítő adatok nyomon követéséhez.
- Legyen óvatos az e-mail mellékletekkel és hivatkozásokkal : Legyen óvatos a váratlan e-mailekkel, különösen azokkal, amelyek mellékleteket vagy hivatkozásokat tartalmaznak. Kerülje a mellékletek megnyitását, illetve az ismeretlen vagy gyanús forrásból származó linkekre való kattintást, mivel ezek zsarolóprogramokat vagy más rosszindulatú programokat tartalmazhatnak.
- Saját maga és a felhasználók oktatása : Legyen tájékozott a legújabb kiberbiztonsági fenyegetésekről, és tájékoztassa magát és más felhasználókat az ismeretlen hivatkozásokra való kattintás, a gyanús fájlok letöltése vagy a megbízhatatlan webhelyek látogatásának kockázatairól.
Ezen gyakorlatok elfogadásával a felhasználók jelentősen csökkenthetik annak kockázatát, hogy zsarolóvírus áldozatává váljanak, és javíthatják eszközeik általános biztonsági helyzetét.
Az Avanzi Ransomware által a feltört eszközökön generált váltságdíj teljes szövege a következő:
'Avanzi
All your files have been encrypted!
Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.ioFree decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.Az Avanzi Ransomware által eldobott szövegfájl a következő üzenetet tartalmazza:
minden adatát zároltuk
Vissza akarsz térni?
írjon e-mailt avanziahelp@cock.li vagy avanzirest@tuta.io'
