Z1n Ransomware
Semasa menyiasat ancaman perisian hasad, penyelidik telah mengenal pasti Z1n Ransomware, menjelaskan sifat jahatnya. Z1n beroperasi sebagai varian perisian tebusan, menggunakan teknik di mana ia menyulitkan data pada peranti yang terjejas dan seterusnya menuntut wang tebusan untuk penyahsulitan.
Selepas pelaksanaan pada peranti yang disasarkan, Z1n menyulitkan fail, menjadikannya tidak boleh diakses dan mengubah suai nama failnya. Tajuk fail asal mengalami transformasi, dengan ID eksklusif diberikan kepada mangsa, alamat e-mel penyerang dan sambungan '.z1n' dilampirkan. Sebagai contoh, fail yang asalnya bernama '1.doc' akan ditukar menjadi '1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.'
Berikutan proses penyulitan, Z1n menjana nota tebusan dalam bentuk tetingkap timbul dan fail teks bernama 'read.txt.' Terutama, nota tebusan yang dihantar sebagai fail teks disimpan pada desktop dan dalam semua direktori yang disulitkan. Pendedahan penting daripada penyelidik ialah Z1n bergabung dengan keluarga Dharma Ransomware , memberikan pandangan tentang klasifikasi dan asal usulnya.
Isi kandungan
Ransomware Z1n Boleh Menyebabkan Kerosakan Ketara pada Peranti Yang Dijangkiti
Z1n dikenal pasti sebagai ahli keluarga Dharma Ransomware, yang membezakan dirinya dengan mengelak menjadikan peranti yang dijangkiti tidak boleh beroperasi melalui peninggalan yang disengajakan untuk menyulitkan fail sistem kritikal. Terutamanya, pendekatan strategik ini bertujuan untuk memastikan fungsi sistem penting kekal tidak terjejas, membolehkan peranti yang dijangkiti terus beroperasi walaupun terdapat aktiviti perisian tebusan.
Sebagai tambahan kepada ciri unik ini, varian Dharma Ransomware, termasuk Z1n, mempamerkan gelagat canggih untuk mengumpul data geolokasi selepas penyusupan. Data ini kemudiannya digunakan untuk menilai kebolehlaksanaan meneruskan penyulitan, dengan pertimbangan seperti mengelakkan mesin yang terletak di kawasan ekonomi yang lemah atau di negara yang menyelaraskan ideologi politik atau geopolitik.
Apabila menyusup ke dalam sistem, program ransomware ini melumpuhkan firewall dan mewujudkan kegigihan melalui dua mekanisme. Pertama, dengan menyalin perisian hasad ke laluan %LOCALAPPDATA% dan mendaftarkannya dengan kekunci Jalankan tertentu, dan kedua, dengan memulakan perisian hasad secara automatik selepas setiap but semula sistem.
Perisian tebusan Dharma, termasuk Z1n, menggunakan strategi penyulitan yang merangkumi kedua-dua fail tempatan dan rangkaian yang dikongsi. Untuk mengelakkan pengecualian kerana fail dianggap "sedang digunakan", perisian tebusan menamatkan proses yang dikaitkan dengan fail yang dibuka, termasuk program pangkalan data dan pembaca fail teks.
Ciri yang ketara ialah usaha perisian tebusan untuk mengelakkan penyulitan dua kali dengan mengikuti senarai pengecualian untuk data yang telah dikunci oleh perisian tebusan lain. Walau bagaimanapun, diakui bahawa proses ini tidak mudah, kerana ia mungkin tidak meliputi semua jangkitan yang serupa. Dharma merumitkan lagi pilihan pemulihan data dengan memadamkan Salinan Volume Bayangan, mengehadkan kemungkinan jalan untuk memulihkan fail yang disulitkan.
Mangsa Ransomware Z1n Tinggalkan Arahan untuk Membuat Pembayaran Tebusan
Fail teks yang dikaitkan dengan Z1n Ransomware berfungsi sebagai komunikasi ringkas kepada mangsa, memberitahu mereka bahawa data mereka telah dikunci. Ia menggalakkan mangsa menjalin hubungan dengan penyerang untuk memulakan proses pemulihan. Sebaliknya, mesej pop timbul yang mengiringi jangkitan ransomware memberikan maklumat yang lebih terperinci. Ia secara eksplisit menyebut bahawa fail yang tidak boleh diakses telah disulitkan. Walaupun nota itu mengelak daripada menyatakan secara jelas bahawa membayar tebusan adalah perlu untuk penyahsulitan, ia amat membayangkan keperluan sedemikian.
Dalam percubaan untuk memberikan kemiripan jaminan pemulihan, mesej tersebut memanjangkan tawaran untuk ujian penyahsulitan percuma. Ujian ini membolehkan mangsa menilai kemungkinan pemulihan pada tiga fail, setiap satu bersaiz tidak melebihi 5MB dan tanpa data kritikal. Walau bagaimanapun, perlu diperhatikan bahawa mangsa diberi amaran supaya tidak mendapatkan bantuan daripada pihak ketiga (perantara) dan dinasihatkan supaya tidak membuat pengubahsuaian pada fail yang terjejas. Amaran ini menggariskan penekanan pengendali perisian tebusan terhadap komunikasi langsung dan pematuhan kepada proses tertentu mereka untuk potensi pemulihan data.
Pakar Tidak Digalakkan Memberi Sebarang Wang kepada Penjenayah Siber
Penyahsulitan fail yang disulitkan oleh ancaman ransomware biasanya memerlukan campur tangan penyerang, menjadikan pemulihan sebagai proses yang mencabar. Pengecualian kepada peraturan ini jarang berlaku dan selalunya melibatkan kejadian di mana perisian tebusan mempunyai kelemahan yang ketara.
Mangsa yang mematuhi tuntutan wang tebusan mungkin masih mendapati diri mereka tanpa kunci atau alat penyahsulitan yang diperlukan. Ketidakpastian ini menekankan ketidakpercayaan penjenayah siber dalam menunaikan janji, menjadikannya sangat dinasihatkan agar tidak membuat sebarang pembayaran atau mengikut arahan daripada pelakon yang berniat jahat ini. Melibatkan diri dalam tindakan sedemikian bukan sahaja gagal menjamin pemulihan fail tetapi juga menyokong dan mengekalkan aktiviti jenayah.
Adalah penting untuk ambil perhatian bahawa semasa mengalih keluar perisian tebusan daripada sistem pengendalian menghalang penyulitan lanjut, ia tidak memulihkan data yang telah terjejas sebelum ini secara automatik. Untuk meningkatkan keselamatan data, adalah disyorkan untuk mengekalkan sandaran di berbilang lokasi, seperti peranti storan yang dicabut dan pelayan jauh. Pendekatan pelbagai aspek untuk storan sandaran ini membantu mengurangkan kesan serangan perisian tebusan dan memastikan strategi pemulihan data yang lebih mantap.
Nota tebusan yang ditunjukkan kepada mangsa dalam tetingkap pop timbul ialah:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
