Avanzi Ransomware
Semasa meneliti perisian yang berpotensi mengancam, penyelidik keselamatan siber telah mengenal pasti varian perisian tebusan yang dirujuk sebagai Avanzi. Setelah berjaya menyusup ke komputer, Avanzi melaksanakan beberapa siri tindakan berbahaya, termasuk menyulitkan fail, mengubah suai nama fail mereka, memaparkan nota tebusan kepada mangsa dan menjana nota tambahan dalam fail 'info.txt'.
Selepas jangkitan, Avanzi menambahkan elemen khusus pada nama fail, iaitu ID mangsa, alamat e-mel 'avanziahelp@cock.li,' dan sambungan '.avan'. Sebagai contoh, ia menukar fail seperti '1.png' kepada '1.png.id-9ECFA74E.[avanziahelp@cock.li].avan' dan '2.pdf' kepada '2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan,' dan sebagainya. Aspek penting untuk diperhatikan tentang Avanzi Ransomware ialah perkaitannya dengan keluarga Dharma yang terkenal dengan ancaman malware.
Avanzi Ransomware Boleh Menyebabkan Kerosakan Serius pada Peranti Yang Dikompromi
Nota tebusan yang dikeluarkan oleh Avanzi Ransomware bermula dengan pengumuman yang memaklumkan mangsa bahawa semua fail mereka telah melalui penyulitan tetapi memberi jaminan kepada mereka tentang kemungkinan pemulihan. Mangsa diarahkan untuk menjalin hubungan dengan penyerang dalam tempoh masa 12 jam yang ketat melalui alamat e-mel yang ditentukan (avanziahelp@cock.li), dengan e-mel alternatif (avanzirest@tuta.io) disediakan untuk respons tertunda.
Untuk mempamerkan rupa muhibah, nota itu menjanjikan penyahsulitan percuma untuk sehingga tiga fail, menggariskan syarat khusus untuk kelayakan. Tambahan pula, mangsa diberikan panduan untuk memperoleh Bitcoins, kaedah pembayaran tebusan pilihan. Nota itu secara jelas memberi amaran terhadap tindakan tertentu, seperti menamakan semula fail atau percubaan pada penyahsulitan pihak ketiga, untuk mengelakkan kehilangan data kekal atau terdedah kepada taktik.
Perlu diberi perhatian ialah strategi Avanzi untuk menjejaskan mekanisme pertahanan utama sistem sasaran dengan melumpuhkan tembok api. Lebih-lebih lagi, ia menghapuskan Salinan Volume Bayangan, sekali gus menutup saluran berpotensi untuk pemulihan data. Perisian tebusan mengambil kesempatan daripada kelemahan dalam perkhidmatan Protokol Desktop Jauh (RDP) untuk memudahkan akses tanpa kebenaran.
Avanzi menggunakan kekerasan dan serangan kamus untuk mengeksploitasi kelayakan akaun yang lemah, terutamanya pada sistem yang menggunakan perkhidmatan RDP. Kegigihan perisian hasad pada sistem yang dijangkiti menimbulkan kebimbangan yang ketara. Selain menyulitkan dan menjejaskan sistem, Avanzi mengumpulkan data lokasi dan secara terpilih boleh mengecualikan lokasi yang dipratentukan, dengan itu memanjangkan impak dan tempohnya.
Bagaimana untuk Melindungi Peranti Anda daripada Ancaman Ransomware?
Melindungi peranti daripada ancaman perisian tebusan melibatkan penggunaan pendekatan berbilang lapisan untuk meningkatkan keselamatan siber keseluruhan. Berikut ialah beberapa amalan dan cadangan utama:
- Pastikan Perisian Kemas Kini : Kemas kini sistem pengendalian, perisian keselamatan dan aplikasi secara kerap. Kemas kini perisian selalunya termasuk tampung keselamatan yang menangani kelemahan yang dieksploitasi oleh perisian tebusan.
- Pasang Perisian Anti-Hasad Yang Boleh Dipercayai : Gunakan perisian keselamatan yang bereputasi untuk memberikan perlindungan masa nyata terhadap pelbagai ancaman, termasuk perisian tebusan. Pastikan perisian ditetapkan untuk mengemas kini dan menjalankan imbasan biasa secara automatik.
- Sandaran Data Penting : Sandarkan data kritikal secara kerap ke pemacu keras luaran atau perkhidmatan awan yang selamat. Ini memastikan bahawa walaupun peranti anda terjejas, anda boleh memulihkan fail anda tanpa tunduk kepada tuntutan wang tebusan.
- Gunakan Kata Laluan yang Kuat dan Unik : Laksanakan kata laluan yang kukuh dan unik untuk semua akaun dan peranti. Elakkan menggunakan kata laluan yang mudah diteka dan pertimbangkan untuk menggunakan pengurus kata laluan untuk menjejaki bukti kelayakan yang kompleks.
- Berhati-hati dengan Lampiran dan Pautan E-mel : Berwaspada terhadap e-mel yang tidak dijangka, terutamanya yang mengandungi lampiran atau pautan. Elakkan membuka lampiran atau mengklik pada pautan daripada sumber yang tidak diketahui atau mencurigakan, kerana ia mungkin mengandungi perisian tebusan atau perisian hasad lain.
- Didik Diri Anda dan Pengguna : Kekal dimaklumkan tentang ancaman keselamatan siber terkini dan mendidik diri sendiri dan pengguna lain tentang risiko mengklik pada pautan yang tidak diketahui, memuat turun fail yang mencurigakan atau melawati tapak web yang tidak boleh dipercayai.
Dengan mengamalkan amalan ini, pengguna boleh mengurangkan dengan ketara risiko menjadi mangsa perisian tebusan dan meningkatkan postur keselamatan keseluruhan peranti mereka.
Teks penuh nota tebusan yang dijana oleh Avanzi Ransomware pada peranti yang dilanggar ialah:
'Avanzi
All your files have been encrypted!
Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.ioFree decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Perhatian!
Jangan menamakan semula fail yang disulitkan.
Jangan cuba menyahsulit data anda menggunakan perisian pihak ketiga, ia boleh menyebabkan kehilangan data kekal.
Penyahsulitan fail anda dengan bantuan pihak ketiga boleh menyebabkan harga meningkat (mereka menambahkan bayaran mereka kepada kami) atau anda boleh menjadi mangsa penipuan.Fail teks yang digugurkan oleh Avanzi Ransomware mengandungi mesej berikut:
semua data anda telah dikunci kami
Awak nak balik?
tulis e-mel avanziahelp@cock.li atau avanzirest@tuta.io'
