Скидка на мультилицензию
База данных угроз Программы-вымогатели Программа-вымогатель ZETARINK

Программа-вымогатель ZETARINK

К Mezo году в Программы-вымогатели году
Перевести на:

Быстрое развитие программ-вымогателей подчеркивает критическую важность защиты устройств и сетей от вредоносного программного обеспечения. Современные кампании по распространению программ-вымогателей сочетают в себе технологии шифрования, принуждения и анонимности, чтобы заставить жертв заплатить выкуп. Одной из таких новых угроз, выявленных в ходе расследований вредоносных программ, является ZETARINK Ransomware — высокоэффективная программа-вымогатель, предназначенная для вымогательства криптовалюты у пользователей, чьи устройства были скомпрометированы.

Программа-вымогатель ZETARINK: обзор работы

Вирус ZETARINK был обнаружен в ходе углубленного анализа активных образцов вредоносного ПО. После запуска на целевой системе программа-вымогатель запускает многоэтапную атаку. Она шифрует файлы, изменяет обои рабочего стола, чтобы сигнализировать о взломе, и оставляет записку с требованием выкупа под названием «ZETARINK[случайная_строка]-HOW-TO-DECRYPT.txt». Кроме того, к каждому зашифрованному файлу добавляется расширение «.ZETARINK», за которым следует случайная строка.

Например, файл с именем '1.png' может быть переименован в '1.png.ZETARINKXxpV1yCM', а файл '2.pdf' — в '2.pdf.ZETARINKXxpV1yCM'. Добавленная строка, вероятно, служит идентификатором кампании или конкретной жертвы, помогая злоумышленникам управлять ключами расшифровки и отслеживать платежи.

Систематическое переименование файлов препятствует стандартному доступу к ним и служит видимым индикатором шифрования, усиливая психологическое давление, оказываемое на жертв.

Стратегия шифрования и тактика вымогательства

В записке с требованием выкупа утверждается, что все важные файлы, включая документы, базы данных, фотографии и другую конфиденциальную информацию, зашифрованы. Подчеркивается, что файлы не «повреждены», а «изменены», и утверждается, что восстановление возможно только с помощью уникального закрытого ключа и специальной программы расшифровки, контролируемой злоумышленниками.

Жертв предупреждают, что попытка восстановления данных с помощью сторонних инструментов приведет к необратимому повреждению данных. Подобная формулировка часто встречается в кампаниях по вымогательству и призвана отбить охоту к самостоятельным попыткам восстановления или проведению криминалистического анализа. В сообщении жертвам предлагается перейти на веб-сайт в сети Tor по предоставленной персональной ссылке и коду. Там в инструкциях по оплате требуется 0,00015 BTC в обмен на якобы найденное решение для расшифровки.

Хотя сумма выкупа может показаться относительно небольшой, основная тактика остается той же: создать ощущение срочности, ограничить возможности и направлять связь через анонимную инфраструктуру. Однако оплата не гарантирует восстановления файлов. Злоумышленники могут не предоставить работающий дешифратор, потребовать дополнительные средства или полностью прекратить связь. Следовательно, платить выкуп крайне не рекомендуется.

Настойчивость, боковое движение и постоянный риск

Помимо шифрования файлов, ZETARINK создает дополнительные операционные риски, если его не удалить незамедлительно. Активная инфекция может продолжать шифровать вновь созданные или подключенные файлы. В сетевых средах объектами атаки могут стать также общие диски и доступные конечные устройства, что усугубит общий ущерб.

Поэтому крайне важно незамедлительно локализовать проблему. Изоляция зараженных систем от сети и запуск процедур реагирования на инциденты помогут предотвратить дальнейшее распространение. Затем необходимо полностью удалить программу-вымогатель, в идеале с помощью профессиональных средств защиты и криминалистического анализа, чтобы убедиться в отсутствии остаточных вредоносных компонентов.

Векторы заражения и каналы доставки инфекции

ZETARINK использует распространенные, но весьма эффективные механизмы распространения. Фишинговые кампании остаются основным вектором атаки, обычно включающим вводящие в заблуждение электронные письма со вредоносными вложениями или встроенными ссылками. Эти вложения могут выглядеть как счета-фактуры, уведомления об отправке или другие законные сообщения, но скрывают исполняемые файлы.

К другим часто встречающимся способам родоразрешения относятся:

  • Эксплуатация уязвимостей незащищенных операционных систем или приложений.
  • Мошенничество с поддельной технической поддержкой
  • Включение в пиратское программное обеспечение взломанных версий или генераторов ключей.
  • Распространение через пиринговые сети и неофициальные порталы для скачивания.
  • Вредоносная реклама и скомпрометированные или мошеннические веб-сайты

Вредоносная программа-вымогатель часто внедряется в исполняемые файлы, скрипты, сжатые архивы или документы, такие как файлы Word, Excel или PDF. После открытия и выполнения необходимых действий, например, включения макросов, начинается процесс шифрования.

Укрепление обороны: основные методы обеспечения безопасности

Защита от программ-вымогателей, таких как ZETARINK, требует многоуровневой и дисциплинированной системы безопасности. Как отдельным пользователям, так и организациям следует внедрять следующие передовые методы:

  • Регулярно создавайте резервные копии важных данных в автономном режиме и проверяйте их целостность с помощью периодических тестов восстановления.
  • Своевременно обновляйте и исправляйте ошибки в операционных системах, приложениях и встроенном программном обеспечении.
  • Внедрите надежные решения для защиты конечных точек с обнаружением угроз в режиме реального времени.
  • Отключить макросы по умолчанию и ограничить выполнение несанкционированных скриптов.
  • Ограничивайте права пользователей в соответствии с принципом минимальных привилегий.
  • Разделение сетей на сегменты позволяет снизить риск горизонтального перемещения.
  • Проводите постоянное обучение по вопросам информационной безопасности для повышения эффективности обнаружения фишинга.

В дополнение к этим мерам контроля организациям следует иметь документированный план реагирования на инциденты. Централизованное ведение журналов, мониторинг конечных точек и инструменты обнаружения аномалий могут значительно сократить время реагирования и уменьшить ущерб.

Угрозы программ-вымогателей, такие как ZETARINK, демонстрируют постоянно совершенствующиеся методы киберпреступников. Надежное шифрование, анонимизированные каналы связи и психологическое манипулирование образуют мощную комбинацию. Однако, благодаря превентивным мерам безопасности, информированному поведению пользователей и надежным стратегиям резервного копирования, последствия таких атак могут быть значительно снижены.

System Messages

The following system messages may be associated with Программа-вымогатель ZETARINK:

=====ENCRYPTED BY ZETARINK 1.22=====

ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
==========================
Your files are NOT damaged! Your files are modified only. This modification is reversible. The only 1 way to decrypt your files is to receive the private key and decryption program. Any attempts to restore your files with the third-party software will be fatal for your files!
============================
To receive the private key and decryption program follow the instructions below:
1. Visit hxxps://www.torproject.org/
2. Then download Tor Browser.
3. Connect to - (Your personal link, don't f**king lose it!)
4. Enter your personal code.
5. Then follow instructions.

Your personal ID is:
==========================
ENCRYPTED BY ZETARINK 1.22

ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!

FIND ZETARINK[random_string]-HOW-TO-DECRYPT.txt AND FOLLOW INSTRUCTIONS

В тренде

Наиболее просматриваемые

Загрузка...