Z1n Ransomware
Исследуя угрозы вредоносного ПО, исследователи выявили программу-вымогатель Z1n, проливая свет на ее вредоносную природу. Z1n действует как вариант программы-вымогателя, используя метод, при котором он шифрует данные на взломанных устройствах и впоследствии требует выкуп за расшифровку.
При запуске на целевых устройствах Z1n шифрует файлы, делая их недоступными и изменяя их имена. Исходные заголовки файлов претерпевают трансформацию: жертве присваивается эксклюзивный идентификатор, адрес электронной почты злоумышленников и добавляется расширение «.z1n». Например, файл с первоначальным названием «1.doc» будет преобразован в «1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n».
После процесса шифрования Z1n генерирует заметки о выкупе в виде всплывающего окна и текстового файла с именем «read.txt». Примечательно, что заметки о выкупе, доставленные в виде текстовых файлов, хранятся на рабочем столе и во всех зашифрованных каталогах. Важным открытием исследователей является то, что Z1n связан с семейством Dharma Ransomware , что дает представление о его классификации и происхождении.
Оглавление
Программа-вымогатель Z1n может нанести значительный ущерб зараженным устройствам
Z1n идентифицирован как член семейства программ-вымогателей Dharma, которые отличаются тем, что не выводят зараженное устройство из строя за счет преднамеренного отсутствия шифрования критически важных системных файлов. Примечательно, что этот стратегический подход направлен на то, чтобы основные функции системы оставались незатронутыми, позволяя зараженному устройству продолжать работать, несмотря на активность программы-вымогателя.
В дополнение к этой уникальной характеристике варианты Dharma Ransomware, включая Z1n, демонстрируют сложное поведение при сборе данных геолокации после проникновения. Эти данные затем используются для оценки возможности продолжения шифрования с учетом таких соображений, как избежание машин, расположенных в экономически слабых регионах или в странах с соответствующими политическими или геополитическими идеологиями.
При проникновении в систему эти программы-вымогатели отключают брандмауэр и обеспечивают постоянство с помощью двух механизмов. Во-первых, путем копирования вредоносной программы по пути %LOCALAPPDATA% и регистрации ее с помощью определенных клавиш запуска, а во-вторых, путем автоматического запуска вредоносной программы после каждой перезагрузки системы.
Программы-вымогатели Dharma, в том числе Z1n, используют стратегию шифрования, охватывающую как локальные, так и общие сетевые файлы. Чтобы предотвратить исключения из-за того, что файлы считаются «используемыми», программа-вымогатель завершает процессы, связанные с открытыми файлами, включая программы баз данных и программы чтения текстовых файлов.
Примечательной особенностью является попытка программы-вымогателя избежать двойного шифрования, следуя списку исключений для данных, уже заблокированных другими программами-вымогателями. Однако признается, что этот процесс не является надежным, поскольку он не может охватить все инфекции аналогичного характера. Dharma еще больше усложняет варианты восстановления данных, удаляя теневые копии томов, ограничивая потенциальные возможности восстановления зашифрованных файлов.
Жертвам программы-вымогателя Z1n остаются инструкции по выплате выкупа
Текстовый файл, связанный с программой-вымогателем Z1n, служит кратким сообщением для жертвы, уведомляя ее о том, что ее данные заблокированы. Это побуждает жертву установить контакт с злоумышленниками, чтобы начать процесс восстановления. С другой стороны, всплывающее сообщение, сопровождающее заражение программой-вымогателем, предоставляет более подробную информацию. В нем прямо упоминается, что файлы, ставшие недоступными, были зашифрованы. Хотя в записке прямо не указывается, что для расшифровки необходимо заплатить выкуп, она явно подразумевает наличие такого требования.
В попытке обеспечить подобие гарантии восстановления сообщение расширяет предложение бесплатного теста расшифровки. Этот тест позволяет жертве оценить возможность восстановления трех файлов, каждый размером не более 5 МБ и лишенных критических данных. Однако примечательно, что жертву предостерегают от обращения за помощью к третьим лицам (посредникам) и не рекомендуют вносить изменения в затронутые файлы. Эти предупреждения подчеркивают, что операторы программ-вымогателей уделяют особое внимание прямому общению и соблюдению установленных ими процессов для потенциального восстановления данных.
Эксперты не рекомендуют давать деньги киберпреступникам
Расшифровка файлов, зашифрованных с помощью программ-вымогателей, обычно требует вмешательства злоумышленников, что делает восстановление сложным процессом. Исключения из этого правила редки и часто включают случаи, когда программа-вымогатель имеет существенные недостатки.
Жертвы, выполнившие требования о выкупе, все равно могут оказаться без необходимых ключей или инструментов расшифровки. Эта непредсказуемость подчеркивает ненадежность киберпреступников в выполнении обещаний, поэтому им настоятельно не рекомендуется производить какие-либо платежи или следовать инструкциям этих злоумышленников. Подобные действия не только не гарантируют восстановление файлов, но также поддерживают и увековечивают преступную деятельность.
Важно отметить, что, хотя удаление программы-вымогателя из операционной системы предотвращает дальнейшее шифрование, оно не восстанавливает ранее скомпрометированные данные автоматически. Для повышения безопасности данных рекомендуется хранить резервные копии в нескольких местах, например на отключенных устройствах хранения и удаленных серверах. Этот многогранный подход к хранилищу резервных копий помогает смягчить воздействие атак программ-вымогателей и обеспечивает более надежную стратегию восстановления данных.
Записка о выкупе, которая отображается жертвам во всплывающем окне:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
