Z1n 랜섬웨어
연구원들은 맬웨어 위협을 조사하는 동안 Z1n 랜섬웨어를 식별하여 그 악의적인 성격을 밝혀냈습니다. Z1n은 손상된 장치의 데이터를 암호화한 후 해독을 위해 몸값을 요구하는 기술을 사용하는 랜섬웨어 변종으로 작동합니다.
대상 장치에서 실행되면 Z1n은 파일을 암호화하여 액세스할 수 없게 만들고 파일 이름을 수정합니다. 원본 파일 제목은 피해자에게 할당된 전용 ID, 공격자의 이메일 주소 및 '.z1n' 확장자가 추가된 변형을 거칩니다. 예를 들어 원래 이름이 '1.doc'인 파일은 '1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n'으로 변환됩니다.
Z1n은 암호화 과정을 거쳐 팝업창 형태로 랜섬노트와 'read.txt'라는 텍스트 파일을 생성합니다. 특히 텍스트 파일로 전달된 랜섬웨어 메모는 데스크톱과 모든 암호화된 디렉터리에 보관됩니다. 연구원들이 밝혀낸 중요한 사실은 Z1n이 Dharma 랜섬웨어 계열에 속해 있으며 분류 및 출처에 대한 통찰력을 제공한다는 것입니다.
목차
Z1n 랜섬웨어는 감염된 장치에 심각한 손상을 일으킬 수 있습니다
Z1n은 Dharma 랜섬웨어 계열의 구성원으로 식별됩니다. 이 랜섬웨어는 중요한 시스템 파일 암호화를 고의적으로 생략하여 감염된 장치를 작동 불가능하게 만드는 것을 방지함으로써 차별화됩니다. 특히, 이 전략적 접근 방식은 필수 시스템 기능이 영향을 받지 않고 랜섬웨어 활동에도 불구하고 감염된 장치가 계속 작동하도록 하는 것을 목표로 합니다.
이러한 고유한 특성 외에도 Z1n을 포함한 Dharma 랜섬웨어 변종은 침투 후 지리 위치 데이터를 수집하는 정교한 동작을 나타냅니다. 그런 다음 이 데이터는 경제적으로 취약한 지역이나 정치적 또는 지정학적 이념이 일치하는 국가에 있는 기계를 피하는 등의 고려 사항을 바탕으로 암호화 진행의 타당성을 평가하는 데 활용됩니다.
시스템에 침투하면 이러한 랜섬웨어 프로그램은 방화벽을 비활성화하고 두 가지 메커니즘을 통해 지속성을 설정합니다. 첫째, 악성 코드를 %LOCALAPPDATA% 경로에 복사하고 이를 특정 실행 키로 등록하고, 둘째, 각 시스템 재부팅 후 자동으로 악성 코드를 시작합니다.
Z1n을 포함한 Dharma 랜섬웨어는 로컬 및 네트워크 공유 파일을 모두 포괄하는 암호화 전략을 사용합니다. "사용 중"으로 간주되는 파일로 인한 예외를 방지하기 위해 랜섬웨어는 데이터베이스 프로그램 및 텍스트 파일 판독기를 포함하여 열린 파일과 관련된 프로세스를 종료합니다.
주목할만한 특징은 다른 랜섬웨어에 의해 이미 잠긴 데이터에 대한 제외 목록을 따라 이중 암호화를 피하려는 랜섬웨어의 노력입니다. 그러나 유사한 성격의 모든 감염을 처리할 수는 없으므로 이 프로세스가 완벽하지는 않다는 점은 인정됩니다. Dharma는 쉐도우 볼륨 복사본을 삭제하여 암호화된 파일을 복원할 수 있는 잠재적인 방법을 제한함으로써 데이터 복구 옵션을 더욱 복잡하게 만듭니다.
Z1n 랜섬웨어 피해자에게 몸값을 지불하라는 지시가 남습니다
Z1n 랜섬웨어와 관련된 텍스트 파일은 피해자에게 데이터가 잠겨 있음을 알리는 간단한 통신 역할을 합니다. 이는 피해자가 공격자와 접촉하여 복구 프로세스를 시작하도록 장려합니다. 반면, 랜섬웨어 감염과 함께 표시되는 팝업 메시지는 보다 자세한 정보를 제공합니다. 액세스할 수 없게 렌더링된 파일이 암호화되었음을 명시적으로 언급합니다. 이 메모에는 암호 해독을 위해 몸값을 지불해야 한다는 점을 명시적으로 언급하고 있지는 않지만 그러한 요구 사항을 강력하게 암시합니다.
복구 보증을 제공하기 위해 메시지는 무료 암호 해독 테스트 제안을 확장합니다. 이 테스트를 통해 피해자는 각각 크기가 5MB를 초과하지 않고 중요한 데이터가 없는 세 개의 파일에 대한 복구 가능성을 평가할 수 있습니다. 그러나 피해자가 제3자(중개자)에게 도움을 요청하지 않도록 주의를 받고 영향을 받은 파일을 수정하지 않도록 권고했다는 점은 주목할 만합니다. 이러한 경고는 랜섬웨어 운영자가 잠재적인 데이터 복구를 위해 지정된 프로세스를 준수하고 직접적인 의사소통을 강조한다는 점을 강조합니다.
전문가들은 사이버 범죄자에게 돈을 주는 것을 권장하지 않습니다
랜섬웨어 위협으로 암호화된 파일의 암호를 해독하려면 일반적으로 공격자의 개입이 필요하므로 복구 프로세스가 어려워집니다. 이 규칙에 대한 예외는 드물며 랜섬웨어에 심각한 결함이 있는 경우가 종종 포함됩니다.
몸값 요구에 응한 피해자는 여전히 필요한 암호 해독 키나 도구가 없을 수도 있습니다. 이러한 예측 불가능성은 사이버 범죄자가 약속을 이행하는 데 있어 신뢰성이 부족함을 강조하므로, 이러한 악의적인 행위자의 지시에 따라 결제하거나 따르지 않도록 강력히 권고합니다. 그러한 행위에 가담하면 파일 복구가 보장되지 않을 뿐만 아니라 범죄 활동을 지원하고 영속화하게 됩니다.
운영 체제에서 랜섬웨어를 제거하면 추가 암호화가 방지되지만 이전에 손상된 데이터를 자동으로 복원하지는 않는다는 점에 유의하는 것이 중요합니다. 데이터 안전성을 높이려면 플러그를 뽑은 저장 장치, 원격 서버 등 여러 위치에 백업을 유지하는 것이 좋습니다. 백업 스토리지에 대한 이러한 다각적인 접근 방식은 랜섬웨어 공격의 영향을 완화하고 보다 강력한 데이터 복구 전략을 보장하는 데 도움이 됩니다.
팝업 창으로 피해자에게 표시되는 랜섬 메모는 다음과 같습니다.
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
