Z1n Ransomware
Ao investigar ameaças de malware, os pesquisadores identificaram o Z1n Ransomware, esclarecendo sua natureza maliciosa. O Z1n opera como uma variante de ransomware, empregando uma técnica em que criptografa dados em dispositivos comprometidos e, posteriormente, exige um resgate pela descriptografia.
Após a execução nos dispositivos alvo, o Z1n criptografa os arquivos, tornando-os inacessíveis e modificando seus nomes de arquivos. Os títulos dos arquivos originais passam por uma transformação, com um ID exclusivo atribuído à vítima, o endereço de e-mail dos invasores e uma extensão '.z1n' anexada. Por exemplo, um arquivo originalmente denominado '1.doc' seria transformado em '1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.'
Após o processo de criptografia, o Z1n gera notas de resgate na forma de uma janela pop-up e um arquivo de texto chamado ‘read.txt’. Notavelmente, as notas de resgate entregues como ficheiros de texto são depositadas no ambiente de trabalho e em todos os diretórios encriptados. Uma revelação significativa dos pesquisadores é que o Z1n é afiliado à família do Dharma Ransomware, fornecendo informações sobre sua classificação e origem.
Índice
O Z1n Ransomware pode Causar Danos Significativos nos Dispositivos Infectados
Z1n é identificado como membro da família do Dharma Ransomware, que se distingue por evitar tornar o dispositivo infectado inoperante por meio da omissão deliberada de criptografia de arquivos críticos do sistema. Notavelmente, esta abordagem estratégica visa garantir que as funções essenciais do sistema permaneçam inalteradas, permitindo que o dispositivo infectado permaneça operacional apesar da atividade do ransomware.
Além dessa característica única, as variantes do Dharma Ransomware, incluindo o Z1n, exibem um comportamento sofisticado de coleta de dados de geolocalização pós-infiltração. Esses dados são então utilizados para avaliar a viabilidade de prosseguir com a criptografia, com considerações como evitar máquinas localizadas em regiões economicamente fracas ou em países com ideologias políticas ou geopolíticas alinhadas.
Ao se infiltrarem em um sistema, esses programas ransomware desativam o firewall e estabelecem persistência por meio de dois mecanismos. Em primeiro lugar, copiando o malware para o caminho %LOCALAPPDATA% e registrando-o com chaves Run específicas e, em segundo lugar, iniciando automaticamente o malware após cada reinicialização do sistema.
As variantes do Dharma Ransomware, incluindo o Z1n, empregam uma estratégia de criptografia que abrange arquivos locais e compartilhados em rede. Para evitar isenções devido a arquivos serem considerados “em uso”, o ransomware encerra processos associados a arquivos abertos, incluindo programas de banco de dados e leitores de arquivos de texto.
Uma característica notável é o esforço do ransomware para evitar a criptografia dupla, seguindo uma lista de exclusão de dados já bloqueados por outro ransomware. No entanto, reconhece-se que este processo não é infalível, pois pode não abranger todas as infecções de natureza semelhante. O Dharma complica ainda mais as opções de recuperação de dados ao excluir as Shadow Volume Copies, limitando os caminhos potenciais para restaurar arquivos criptografados.
As Vítimas do Z1n Ransomware Recebem Instruções para Efetuar Pagamentos de Resgate
O arquivo de texto associado ao Z1n Ransomware serve como uma breve comunicação à vítima, notificando-a de que seus dados foram bloqueados. Incentiva a vítima a estabelecer contato com os agressores para iniciar o processo de recuperação. Por outro lado, a mensagem pop-up que acompanha a infecção do ransomware fornece informações mais detalhadas. Menciona explicitamente que os arquivos tornados inacessíveis foram criptografados. Embora a nota se abstenha de afirmar explicitamente que o pagamento de um resgate é necessário para a desencriptação, ela implica fortemente tal exigência.
Na tentativa de fornecer uma aparência de garantia de recuperação, a mensagem estende uma oferta para um teste de descriptografia gratuito. Este teste permite que a vítima avalie a possibilidade de recuperação de três arquivos, cada um com tamanho não superior a 5 MB e desprovidos de dados críticos. No entanto, vale ressaltar que a vítima é alertada para não procurar assistência de terceiros (intermediários) e desaconselhada a fazer modificações nos arquivos afetados. Estes avisos sublinham a ênfase dos operadores de ransomware na comunicação direta e na adesão aos seus processos especificados para potencial recuperação de dados.
Os Especialistas Desencorajam Dar Qualquer Quantia de Dinheiro aos Cibercriminosos
A desencriptação de ficheiros encriptados por ameaças de ransomware normalmente requer a intervenção dos atacantes, tornando a recuperação um processo desafiante. As exceções a esta regra são raras e geralmente envolvem casos em que o ransomware apresenta falhas significativas.
As vítimas que cumprem as exigências de resgate ainda podem ficar sem as chaves ou ferramentas de descriptografia necessárias. Esta imprevisibilidade sublinha a falta de fiabilidade dos cibercriminosos no cumprimento das promessas, tornando-os fortemente desaconselhados a fazer quaisquer pagamentos ou a seguir instruções destes intervenientes maliciosos. O envolvimento em tais ações não só não garante a recuperação de arquivos, mas também apoia e perpetua a atividade criminosa.
É crucial observar que, embora a remoção do ransomware do sistema operacional impeça novas criptografias, ela não restaura automaticamente os dados anteriormente comprometidos. Para aumentar a segurança dos dados, é recomendado manter backups em vários locais, como dispositivos de armazenamento desconectados e servidores remotos. Esta abordagem multifacetada ao armazenamento de backup ajuda a mitigar o impacto dos ataques de ransomware e garante uma estratégia de recuperação de dados mais robusta.
A nota de resgate mostrada às vítimas em uma janela pop-up é:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
