Z1n Ransomware
În timp ce investighează amenințările malware, cercetătorii au identificat ransomware-ul Z1n, aruncând lumină asupra naturii sale rău intenționate. Z1n funcționează ca o variantă de ransomware, folosind o tehnică în care criptează datele de pe dispozitive compromise și, ulterior, solicită o răscumpărare pentru decriptare.
La executarea pe dispozitivele vizate, Z1n criptează fișierele, făcându-le inaccesibile și modificându-le numele fișierelor. Titlurile fișierelor originale sunt supuse unei transformări, cu un ID exclusiv atribuit victimei, adresa de e-mail a atacatorilor și o extensie „.z1n” atașată. De exemplu, un fișier denumit inițial „1.doc” ar fi transformat în „1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.”
În urma procesului de criptare, Z1n generează note de răscumpărare sub forma unei ferestre pop-up și a unui fișier text numit „read.txt”. În special, notele de răscumpărare livrate ca fișiere text sunt depuse pe desktop și în toate directoarele criptate. O revelație semnificativă din partea cercetătorilor este că Z1n este afiliat familiei Dharma Ransomware , oferind informații despre clasificarea și originea sa.
Cuprins
Ransomware-ul Z1n poate provoca daune semnificative dispozitivelor infectate
Z1n este identificat ca membru al familiei Dharma Ransomware, care se distinge prin evitarea inoperabilității dispozitivului infectat prin omisiunea deliberată a criptării fișierelor de sistem critice. În special, această abordare strategică urmărește să se asigure că funcțiile esențiale ale sistemului rămân neafectate, permițând dispozitivului infectat să rămână operațional în ciuda activității ransomware.
În plus față de această caracteristică unică, variantele Dharma Ransomware, inclusiv Z1n, prezintă un comportament sofisticat de colectare a datelor de geolocalizare după infiltrare. Aceste date sunt apoi utilizate pentru a evalua fezabilitatea de a continua cu criptarea, cu considerente precum evitarea mașinilor situate în regiuni slabe din punct de vedere economic sau a celor din țări cu ideologii politice sau geopolitice aliniate.
La infiltrarea într-un sistem, aceste programe ransomware dezactivează firewall-ul și stabilesc persistența prin două mecanisme. În primul rând, prin copierea malware-ului în calea %LOCALAPPDATA% și înregistrându-l cu anumite chei Run, iar în al doilea rând, prin inițierea automată a malware-ului după fiecare repornire a sistemului.
Ransomware-ul Dharma, inclusiv Z1n, folosește o strategie de criptare care cuprinde atât fișiere locale, cât și fișiere partajate în rețea. Pentru a preveni scutiri din cauza fișierelor considerate „în uz”, ransomware-ul încheie procesele asociate fișierelor deschise, inclusiv programele de baze de date și cititoarele de fișiere text.
O caracteristică notabilă este efortul ransomware-ului de a evita dubla criptare, urmând o listă de excludere pentru datele deja blocate de alt ransomware. Cu toate acestea, se recunoaște că acest proces nu este sigur, deoarece este posibil să nu acopere toate infecțiile de natură similară. Dharma complică și mai mult opțiunile de recuperare a datelor prin ștergerea Copiilor Shadow Volume, limitând posibilele căi de restaurare a fișierelor criptate.
Victimele ransomware-ului Z1n au rămas cu instrucțiuni pentru a face plăți de răscumpărare
Fișierul text asociat cu Z1n Ransomware servește ca o scurtă comunicare către victimă, informându-i că datele lor au fost blocate. Încurajează victima să stabilească contactul cu atacatorii pentru a iniția procesul de recuperare. Pe de altă parte, mesajul pop-up care însoțește infecția cu ransomware oferă informații mai detaliate. Menționează în mod explicit că fișierele făcute inaccesibile au fost criptate. Deși nota se abține să afirme în mod explicit că plata unei răscumpări este necesară pentru decriptare, ea implică cu tărie o astfel de cerință.
În încercarea de a oferi o aparență de garanție de recuperare, mesajul extinde o ofertă pentru un test de decriptare gratuit. Acest test permite victimei să evalueze posibilitatea de recuperare pe trei fișiere, fiecare care nu depășește 5 MB ca dimensiune și lipsit de date critice. Cu toate acestea, este de remarcat faptul că victima este avertizată să nu solicite asistență de la terți (intermediari) și să nu facă modificări la fișierele afectate. Aceste avertismente subliniază accentul pus de operatorii de ransomware pe comunicarea directă și aderarea la procesele specificate pentru o potențială recuperare a datelor.
Experții descurajează să dea bani infractorilor cibernetici
Decriptarea fișierelor criptate de amenințări ransomware necesită de obicei intervenția atacatorilor, făcând recuperarea un proces dificil. Excepțiile de la această regulă sunt rare și implică adesea cazuri în care ransomware-ul are defecte semnificative.
Victimele care respectă cererile de răscumpărare se pot găsi în continuare fără cheile sau instrumentele de decriptare necesare. Această imprevizibilitate subliniază lipsa de încredere a infractorilor cibernetici în a-și îndeplini promisiunile, făcându-l sfătuit să nu efectueze plăți sau să urmeze instrucțiunile acestor actori rău intenționați. Angajarea în astfel de acțiuni nu numai că nu garantează recuperarea fișierelor, ci și susține și perpetuează activitatea infracțională.
Este esențial să rețineți că, deși eliminarea ransomware-ului din sistemul de operare previne criptările ulterioare, nu restaurează automat datele compromise anterior. Pentru a spori siguranța datelor, se recomandă menținerea copiilor de rezervă în mai multe locații, cum ar fi dispozitivele de stocare deconectate și serverele de la distanță. Această abordare cu mai multe fațete a stocării de rezervă ajută la atenuarea impactului atacurilor ransomware și asigură o strategie mai robustă de recuperare a datelor.
Nota de răscumpărare care este afișată victimelor într-o fereastră pop-up este:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
