Avanzi Ransomware

W trakcie badania potencjalnie zagrażającego oprogramowania badacze cyberbezpieczeństwa zidentyfikowali wariant oprogramowania ransomware określany jako Avanzi. Po pomyślnej infiltracji komputera Avanzi wykonuje szereg szkodliwych działań, w tym szyfruje pliki, modyfikuje ich nazwy, wyświetla ofiarom notatkę z żądaniem okupu i generuje dodatkową notatkę w pliku „info.txt”.

Po infekcji Avanzi dołącza do nazw plików określone elementy, mianowicie identyfikator ofiary, adres e-mail „avanziahelp@cock.li” i rozszerzenie „.avan”. Na przykład przekształca plik taki jak „1.png” w „1.png.id-9ECFA74E.[avanziahelp@cock.li].avan” i „2.pdf” w „2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan” i tak dalej. Ważnym aspektem, na który należy zwrócić uwagę w przypadku oprogramowania Avanzi Ransomware, jest jego powiązanie z niesławną rodziną zagrożeń złośliwym oprogramowaniem Dharma .

Ransomware Avanzi może spowodować poważne uszkodzenie zainfekowanych urządzeń

Żądanie okupu wydane przez Avanzi Ransomware zaczyna się od ogłoszenia informującego ofiary, że wszystkie ich pliki zostały zaszyfrowane, ale zapewniającego je o możliwości odzyskania. Ofiary proszone są o nawiązanie kontaktu z napastnikami w ciągu ściśle 12 godzin za pośrednictwem podanego adresu e-mail (avanziahelp@cock.li) lub alternatywnego adresu e-mail (avanzirest@tuta.io) w przypadku opóźnionej odpowiedzi.

Aby okazać pozory dobrej woli, w notatce obiecuje się bezpłatne odszyfrowanie maksymalnie trzech plików, podając szczegółowe warunki kwalifikowalności. Ponadto ofiary otrzymują wskazówki dotyczące nabycia Bitcoinów, preferowanej metody płatności okupu. Notatka wyraźnie ostrzega przed niektórymi działaniami, takimi jak zmiana nazwy pliku lub próby odszyfrowania przez osoby trzecie, aby zapobiec trwałej utracie danych lub podatności na taktykę.

Na uwagę zasługuje strategia Avanzi polegająca na naruszeniu głównego mechanizmu obronnego docelowego systemu poprzez wyłączenie zapory ogniowej. Co więcej, eliminuje kopie woluminów w tle, zamykając w ten sposób potencjalne możliwości odzyskania danych. Ransomware wykorzystuje luki w usługach protokołu Remote Desktop Protocol (RDP), aby ułatwić nieautoryzowany dostęp.

Avanzi wykorzystuje brutalną siłę i ataki słownikowe w celu wykorzystania słabych danych uwierzytelniających konta, głównie w systemach korzystających z usług RDP. Utrzymywanie się szkodliwego oprogramowania w zainfekowanym systemie budzi poważne obawy. Oprócz szyfrowania i naruszania bezpieczeństwa systemu, Avanzi gromadzi dane o lokalizacji i może selektywnie wykluczać predefiniowane lokalizacje, wydłużając w ten sposób wpływ i czas trwania ataku.

Jak chronić swoje urządzenia przed zagrożeniami typu ransomware?

Ochrona urządzeń przed zagrożeniami typu ransomware wymaga przyjęcia wielowarstwowego podejścia w celu zwiększenia ogólnego cyberbezpieczeństwa. Oto kilka kluczowych praktyk i zaleceń:

• Aktualizuj oprogramowanie : regularnie aktualizuj systemy operacyjne, oprogramowanie zabezpieczające i aplikacje. Aktualizacje oprogramowania często zawierają poprawki zabezpieczeń, które usuwają luki wykorzystywane przez oprogramowanie ransomware.
• Zainstaluj niezawodne oprogramowanie chroniące przed złośliwym oprogramowaniem : Wykorzystaj renomowane oprogramowanie zabezpieczające, aby zapewnić ochronę w czasie rzeczywistym przed różnymi zagrożeniami, w tym oprogramowaniem ransomware. Upewnij się, że oprogramowanie jest ustawione na automatyczną aktualizację i regularne skanowanie.
• Kopia zapasowa ważnych danych : regularnie twórz kopie zapasowe najważniejszych danych na zewnętrznym dysku twardym lub w bezpiecznej usłudze w chmurze. Gwarantuje to, że nawet jeśli Twoje urządzenie zostanie naruszone, będziesz mógł przywrócić pliki bez ulegania żądaniom okupu.
• Używaj silnych i unikalnych haseł : wdrażaj silne, unikalne hasła dla wszystkich kont i urządzeń. Unikaj używania łatwych do odgadnięcia haseł i rozważ użycie menedżera haseł do śledzenia złożonych danych uwierzytelniających.
• Zachowaj ostrożność w przypadku załączników i łączy do wiadomości e-mail : Uważaj na nieoczekiwane wiadomości e-mail, szczególnie te zawierające załączniki lub łącza. Unikaj otwierania załączników lub klikania łączy z nieznanych lub podejrzanych źródeł, ponieważ mogą one zawierać oprogramowanie ransomware lub inne złośliwe oprogramowanie.
• Edukuj siebie i użytkowników : bądź na bieżąco z najnowszymi zagrożeniami dla cyberbezpieczeństwa oraz edukuj siebie i innych użytkowników na temat zagrożeń związanych z klikaniem nieznanych łączy, pobieraniem podejrzanych plików lub odwiedzaniem podejrzanych witryn internetowych.

Stosując te praktyki, użytkownicy mogą znacznie zmniejszyć ryzyko padnięcia ofiarą oprogramowania ransomware i poprawić ogólny stan bezpieczeństwa swoich urządzeń.

Pełny tekst żądania okupu wygenerowanego przez Avanzi Ransomware na zhakowanych urządzeniach to:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają one swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

Plik tekstowy upuszczony przez Avanzi Ransomware zawiera następujący komunikat:

wszystkie Twoje dane zostały nam zablokowane

Chcesz wrócić?

napisz e-mail na adres avanziahelp@cock.li lub avanzirest@tuta.io”