Z1n Ransomware
Tirdami kenkėjiškų programų grėsmes, mokslininkai nustatė Z1n Ransomware, atskleisdami jos kenkėjišką pobūdį. Z1n veikia kaip išpirkos reikalaujančios programos variantas, naudojant techniką, kai ji užšifruoja duomenis pažeistuose įrenginiuose ir vėliau reikalauja išpirkos už iššifravimą.
Vykdant tiksliniuose įrenginiuose, Z1n užšifruoja failus, padaro juos neprieinamus ir pakeičia jų failų pavadinimus. Pradiniai failų pavadinimai transformuojami, aukai priskiriamas išskirtinis ID, užpuoliko el. pašto adresas ir „.z1n“ plėtinys. Pavyzdžiui, failas, iš pradžių pavadintas „1.doc“, būtų paverstas „1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n“.
Po šifravimo proceso Z1n generuoja išpirkos raštelius iššokančiojo lango ir tekstinio failo, pavadinto „read.txt“, pavidalu. Pažymėtina, kad išpirkos užrašai, pateikiami kaip tekstiniai failai, yra deponuojami darbalaukyje ir visuose užšifruotuose kataloguose. Reikšmingas tyrėjų atradimas yra tas, kad Z1n yra susijęs su Dharma Ransomware šeima ir suteikia įžvalgų apie jos klasifikaciją ir kilmę.
Turinys
„Z1n Ransomware“ gali padaryti didelę žalą užkrėstiems įrenginiams
Z1n yra identifikuotas kaip Dharma Ransomware šeimos narys, kuris išsiskiria tuo, kad išvengia užkrėsto įrenginio neveikiančio dėl sąmoningo kritinių sistemos failų šifravimo. Pažymėtina, kad šiuo strateginiu požiūriu siekiama užtikrinti, kad pagrindinės sistemos funkcijos liktų nepakitusios, o užkrėstas įrenginys galėtų veikti nepaisant išpirkos reikalaujančios programos.
Be šios unikalios savybės, Dharma Ransomware variantai, įskaitant Z1n, pasižymi sudėtingu geografinės vietos duomenų rinkimo po įsiskverbimo elgesiu. Tada šie duomenys naudojami siekiant įvertinti, ar įmanoma tęsti šifravimą, atsižvelgiant į tai, kad būtų išvengta mašinų, esančių ekonomiškai silpnuose regionuose arba šalyse, kuriose suderinamos politinės ar geopolitinės ideologijos.
Įsiskverbusios į sistemą šios išpirkos reikalaujančios programos išjungia užkardą ir užtikrina išlikimą dviem mechanizmais. Pirma, nukopijuojant kenkėjišką programą į %LOCALAPPDATA% kelią ir užregistruojant ją su konkrečiais Vykdymo klavišais ir, antra, automatiškai inicijuojant kenkėjišką programą po kiekvieno sistemos perkrovimo.
Dharma ransomware, įskaitant Z1n, naudoja šifravimo strategiją, apimančią tiek vietinius, tiek tinkle bendrinamus failus. Kad būtų išvengta išimčių dėl failų, kurie laikomi „naudojamais“, išpirkos reikalaujanti programa nutraukia procesus, susijusius su atidarytais failais, įskaitant duomenų bazių programas ir tekstinių failų skaitytuvus.
Pažymėtina ypatybė yra išpirkos reikalaujančios programinės įrangos pastangos išvengti dvigubo šifravimo, vadovaujantis išimčių sąrašu duomenims, kuriuos jau užrakino kitos išpirkos reikalaujančios programos. Tačiau pripažįstama, kad šis procesas nėra patikimas, nes gali neapimti visų panašaus pobūdžio infekcijų. „Dharma“ dar labiau apsunkina duomenų atkūrimo parinktis, ištrindama „Shadow Volume Copies“, ribodama galimus užšifruotų failų atkūrimo būdus.
Z1n Ransomware aukoms paliekamos instrukcijos, kaip sumokėti išpirką
Tekstinis failas, susietas su Z1n Ransomware, yra trumpas pranešimas aukai, pranešantis, kad jų duomenys buvo užrakinti. Tai skatina auką užmegzti ryšį su užpuolikais, kad būtų pradėtas atkūrimo procesas. Kita vertus, iššokančiame pranešime, lydinčiame ransomware užkratą, pateikiama išsamesnė informacija. Jame aiškiai paminėta, kad failai, kurie tapo nepasiekiami, buvo užšifruoti. Nors pastaboje aiškiai nenurodyta, kad norint iššifruoti reikia mokėti išpirką, jis griežtai reiškia tokį reikalavimą.
Bandant pateikti atkūrimo garantijos panašumą, pranešime pratęsiamas pasiūlymas atlikti nemokamą iššifravimo testą. Šis testas leidžia aukai įvertinti galimybę atkurti tris failus, kurių kiekvienas neviršija 5 MB ir neturi svarbių duomenų. Tačiau pažymėtina, kad auka įspėjama nesikreipti pagalbos į trečiąsias šalis (tarpininkus) ir nerekomenduojama keisti paveiktų failų. Šie įspėjimai pabrėžia, kad išpirkos reikalaujančių programų operatoriai pabrėžia tiesioginį ryšį ir nurodytų procesų laikymąsi, kad būtų galima atkurti duomenis.
Ekspertai neskatina duoti pinigų kibernetiniams nusikaltėliams
Norint iššifruoti failus, užšifruotus išpirkos reikalaujančių programų grėsmėmis, paprastai reikia įsikišti užpuolikams, todėl atkūrimas yra sudėtingas procesas. Šios taisyklės išimtys yra retos ir dažnai susijusios su atvejais, kai išpirkos reikalaujanti programinė įranga turi didelių trūkumų.
Aukos, kurios laikosi išpirkos reikalavimų, vis tiek gali atsidurti be būtinų iššifravimo raktų ar įrankių. Šis nenuspėjamumas pabrėžia kibernetinių nusikaltėlių nepatikimumą vykdant pažadus, todėl primygtinai nerekomenduojama atlikti jokių mokėjimų ar vykdyti šių kenkėjiškų veikėjų nurodymus. Tokie veiksmai ne tik neužtikrina failų atkūrimo, bet ir palaiko bei įamžina nusikalstamą veiklą.
Labai svarbu pažymėti, kad pašalinus išpirkos reikalaujančią programinę įrangą iš operacinės sistemos išvengiama tolesnio šifravimo, tai automatiškai neatkuria anksčiau pažeistų duomenų. Siekiant padidinti duomenų saugumą, atsargines kopijas rekomenduojama kurti keliose vietose, pvz., atjungtuose saugojimo įrenginiuose ir nuotoliniuose serveriuose. Šis daugialypis atsarginių kopijų saugojimo būdas padeda sušvelninti išpirkos reikalaujančių programų atakų poveikį ir užtikrina patikimesnę duomenų atkūrimo strategiją.
Išpirkos kupiūra, kuri aukoms rodoma iššokančiajame lange, yra:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
