Avanzi Ransomware

В ходе изучения потенциально опасного программного обеспечения исследователи кибербезопасности выявили вариант программы-вымогателя, получивший название Avanzi. После успешного проникновения на компьютер Avanzi выполняет ряд вредоносных действий, включая шифрование файлов, изменение их имен, отображение жертвам записки о выкупе и создание дополнительной заметки в файле info.txt.

При заражении Avanzi добавляет к именам файлов определенные элементы, а именно идентификатор жертвы, адрес электронной почты «avanziahelp@cock.li» и расширение «.avan». Например, он преобразует файл типа «1.png» в «1.png.id-9ECFA74E.[avanziahelp@cock.li].avan», а «2.pdf» — в «2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan» и так далее. Важным аспектом программы-вымогателя Avanzi, на которую следует обратить внимание, является ее связь с печально известным семейством вредоносных программ Dharma .

Программа-вымогатель Avanzi может нанести серьезный ущерб взломанным устройствам

Записка о выкупе, выпущенная программой-вымогателем Avanzi, начинается с объявления, информирующего жертв о том, что все их файлы были зашифрованы, но заверяющего их в возможности восстановления. Жертвам предлагается установить контакт с злоумышленниками в течение строгого 12-часового периода по указанному адресу электронной почты (avanziahelp@cock.li), а на случай задержки ответа предоставляется альтернативный адрес электронной почты (avanzirest@tuta.io).

Чтобы продемонстрировать видимость доброй воли, в записке обещают бесплатную расшифровку до трех файлов, излагая конкретные условия предоставления права на участие. Кроме того, жертвам предоставляются рекомендации по приобретению биткойнов — предпочтительного метода выплаты выкупа. В примечании явно предостерегается от определенных действий, таких как переименование файлов или попытки расшифровки третьими лицами, чтобы предотвратить безвозвратную потерю данных или уязвимость к тактическим действиям.

Заслуживает внимания стратегия Avanzi, заключающаяся в компрометации основного механизма защиты целевой системы путем отключения брандмауэра. Более того, он устраняет теневые копии томов, тем самым закрывая потенциальные возможности для восстановления данных. Программа-вымогатель использует уязвимости в службах протокола удаленного рабочего стола (RDP) для облегчения несанкционированного доступа.

Avanzi использует грубую силу и атаки по словарю для использования слабых учетных данных, в первую очередь в системах, использующих службы RDP. Сохранение вредоносного ПО в зараженной системе вызывает серьезные опасения. Помимо шифрования и компрометации системы, Avanzi собирает данные о местоположении и может выборочно исключать заранее определенные местоположения, тем самым продлевая свое воздействие и продолжительность.

Как защитить ваши устройства от угроз вымогателей?

Защита устройств от угроз программ-вымогателей предполагает применение многоуровневого подхода для повышения общей кибербезопасности. Вот некоторые ключевые практики и рекомендации:

• Постоянно обновляйте программное обеспечение : регулярно обновляйте операционные системы, программное обеспечение безопасности и приложения. Обновления программного обеспечения часто включают исправления безопасности, устраняющие уязвимости, используемые программами-вымогателями.
• Установите надежное антивирусное программное обеспечение . Используйте надежное программное обеспечение безопасности для обеспечения защиты в реальном времени от различных угроз, включая программы-вымогатели. Убедитесь, что программное обеспечение настроено на автоматическое обновление и регулярное сканирование.
• Резервное копирование важных данных . Регулярно создавайте резервные копии важных данных на внешний жесткий диск или в защищенную облачную службу. Это гарантирует, что даже если ваше устройство будет взломано, вы сможете восстановить файлы, не поддаваясь требованиям выкупа.
• Используйте надежные и уникальные пароли . Используйте надежные и уникальные пароли для всех учетных записей и устройств. Избегайте использования легко угадываемых паролей и рассмотрите возможность использования менеджера паролей для отслеживания сложных учетных данных.
• Будьте осторожны с вложениями и ссылками электронной почты . Будьте осторожны с неожиданными электронными письмами, особенно с вложениями или ссылками. Не открывайте вложения и не нажимайте на ссылки из неизвестных или подозрительных источников, поскольку они могут содержать программы-вымогатели или другие вредоносные программы.
• Обучайте себя и пользователей : будьте в курсе последних угроз кибербезопасности и информируйте себя и других пользователей о рисках, связанных с переходом по неизвестным ссылкам, загрузкой подозрительных файлов или посещением ненадежных веб-сайтов.

Приняв эти методы, пользователи могут значительно снизить риск стать жертвой программ-вымогателей и повысить общий уровень безопасности своих устройств.

Полный текст записки о выкупе, созданной программой-вымогателем Avanzi на взломанных устройствах:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенничества.

Текстовый файл, загруженный Avanzi Ransomware, содержит следующее сообщение:

все ваши данные заблокированы нами

Вы хотите вернуться?

напишите электронное письмо avanziahelp@cock.li или avanzirest@tuta.io'