Z1n Ransomware
Mens de undersøkte trusler mot skadelig programvare, har forskere identifisert Z1n Ransomware, og kaster lys over dens ondsinnede natur. Z1n fungerer som en løsepenge-variant, og bruker en teknikk der den krypterer data på kompromitterte enheter og deretter krever løsepenger for dekryptering.
Ved kjøring på målrettede enheter, krypterer Z1n filer, gjør dem utilgjengelige og endrer filnavnene. De originale filtitlene gjennomgår en transformasjon, med en eksklusiv ID tildelt offeret, angripernes e-postadresse og en '.z1n'-utvidelse vedlagt. For eksempel vil en fil opprinnelig kalt '1.doc' bli transformert til '1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.'
Etter krypteringsprosessen genererer Z1n løsepenger i form av et popup-vindu og en tekstfil kalt 'read.txt'. Spesielt er løsepengene som leveres som tekstfiler, deponert på skrivebordet og i alle krypterte kataloger. En betydelig avsløring fra forskerne er at Z1n er tilknyttet Dharma Ransomware- familien, og gir innsikt i dens klassifisering og opprinnelse.
Innholdsfortegnelse
Z1n Ransomware kan forårsake betydelig skade på infiserte enheter
Z1n er identifisert som et medlem av Dharma Ransomware-familien, som utmerker seg ved å unngå å gjøre den infiserte enheten ubrukelig gjennom bevisst utelatelse av kryptering av kritiske systemfiler. Spesielt tar denne strategiske tilnærmingen sikte på å sikre at viktige systemfunksjoner forblir upåvirket, slik at den infiserte enheten kan forbli operativ til tross for løsepengevareaktiviteten.
I tillegg til denne unike egenskapen, viser Dharma Ransomware-variantene, inkludert Z1n, en sofistikert oppførsel for å samle geolokaliseringsdata etter infiltrering. Disse dataene blir deretter brukt til å vurdere muligheten for å fortsette med kryptering, med hensyn som å unngå maskiner som befinner seg i økonomisk svake regioner eller de i land med samsvarende politiske eller geopolitiske ideologier.
Ved å infiltrere et system, deaktiverer disse løsepengeprogrammene brannmuren og etablerer utholdenhet gjennom to mekanismer. For det første ved å kopiere skadelig programvare til %LOCALAPPDATA%-banen og registrere den med spesifikke Kjør-nøkler, og for det andre ved å automatisk starte skadevaren etter hver omstart av systemet.
Dharma løsepengevare, inkludert Z1n, bruker en krypteringsstrategi som omfatter både lokale og nettverksdelte filer. For å forhindre unntak på grunn av at filer anses som «i bruk», avslutter løsepengevaren prosesser knyttet til åpnede filer, inkludert databaseprogrammer og tekstfillesere.
En bemerkelsesverdig funksjon er løsepengevarens innsats for å unngå dobbeltkryptering ved å følge en ekskluderingsliste for data som allerede er låst av andre løsepengeprogrammer. Imidlertid erkjennes det at denne prosessen ikke er idiotsikker, da den kanskje ikke dekker alle infeksjoner av lignende art. Dharma kompliserer datagjenopprettingsalternativene ytterligere ved å slette Shadow Volume Copies, og begrenser de potensielle mulighetene for å gjenopprette krypterte filer.
Ofre for Z1n Ransomware sitter igjen med instruksjoner for å foreta løsepenger
Tekstfilen knyttet til Z1n Ransomware fungerer som en kort kommunikasjon til offeret, og varsler dem om at dataene deres er låst. Den oppfordrer offeret til å etablere kontakt med angriperne for å sette i gang gjenopprettingsprosessen. På den annen side gir popup-meldingen som følger med ransomware-infeksjonen mer detaljert informasjon. Den nevner eksplisitt at filene som er gjort utilgjengelige er kryptert. Mens notatet avstår fra eksplisitt å si at det å betale løsepenger er nødvendig for dekryptering, innebærer det sterkt et slikt krav.
I et forsøk på å gi et inntrykk av en gjenopprettingsgaranti, utvider meldingen et tilbud om en gratis dekrypteringstest. Denne testen lar offeret vurdere muligheten for gjenoppretting på tre filer, som hver ikke overstiger 5 MB i størrelse og er blottet for kritiske data. Det er imidlertid verdt å merke seg at offeret advares mot å søke bistand fra tredjeparter (mellomledd) og frarådes å gjøre endringer i de berørte filene. Disse advarslene understreker løsepengevareoperatørenes vekt på direkte kommunikasjon og overholdelse av deres spesifiserte prosesser for potensiell datagjenoppretting.
Eksperter fraråder å gi penger til nettkriminelle
Dekrypteringen av filer kryptert av løsepengevaretrusler krever vanligvis inngripen fra angriperne, noe som gjør gjenoppretting til en utfordrende prosess. Unntak fra denne regelen er sjeldne og involverer ofte tilfeller der løsepengevaren har betydelige feil.
Ofre som overholder krav om løsepenger kan fortsatt finne seg selv uten de nødvendige dekrypteringsnøklene eller verktøyene. Denne uforutsigbarheten understreker upåliteligheten til nettkriminelle når de leverer løfter, noe som gjør det sterkt frarådet å foreta noen betalinger eller følge instruksjoner fra disse ondsinnede aktørene. Å engasjere seg i slike handlinger garanterer ikke bare filgjenoppretting, men støtter og opprettholder også den kriminelle aktiviteten.
Det er viktig å merke seg at selv om fjerning av løsepengevare fra operativsystemet forhindrer ytterligere kryptering, gjenoppretter den ikke tidligere kompromitterte data automatisk. For å øke datasikkerheten anbefales det å vedlikeholde sikkerhetskopier på flere steder, for eksempel frakoblede lagringsenheter og eksterne servere. Denne mangefasetterte tilnærmingen til sikkerhetskopieringslagring bidrar til å redusere virkningen av løsepengevareangrep og sikrer en mer robust datagjenopprettingsstrategi.
Løsepengene som vises til ofrene i et popup-vindu er:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
