Программа-вымогатель Zollo

Угрозы со стороны вредоносного ПО продолжают совершенствоваться, что делает защиту устройств критически важной как для отдельных лиц, так и для организаций. В частности, атаки программ-вымогателей могут привести к серьезным сбоям в работе, финансовым потерям и утечке конфиденциальных данных. Одной из недавно обнаруженных угроз является программа-вымогатель Zollo, вредоносная программа, предназначенная для шифрования файлов и вымогательства денег у жертв. Понимание того, как работает эта угроза и как она распространяется, имеет важное значение для создания более надежной защиты от подобных атак.

Появление программы-вымогателя Zollo

Zollo Ransomware идентифицирован как вариант семейства программ-вымогателей MedusaLocker. Как и другие представители этого семейства, он разработан для проникновения в системы, шифрования ценных файлов и оказания давления на жертв с целью получения выкупа в обмен на расшифровку.

После запуска на скомпрометированном устройстве вредоносная программа сканирует систему на наличие доступных файлов и шифрует их с помощью надежных криптографических алгоритмов. После шифрования программа-вымогатель изменяет имена файлов, добавляя уникальное расширение, например, '.zollo6'. Например:

• 1.png становится 1.png.zollo6
• 2.pdf становится 2.pdf.zollo6

Число в расширении файла может варьироваться, но результат остается тем же: зашифрованные файлы становятся недоступны для пользователя. Помимо блокировки файлов, программа-вымогатель изменяет обои рабочего стола и размещает на устройстве записку с требованием выкупа под названием «READ_NOTE.html».

Методы шифрования и сообщение с требованием выкупа

В записке с требованием выкупа, оставленной злоумышленниками, утверждается, что файлы были защищены с помощью комбинации шифрования RSA и AES, которые являются распространенными криптографическими методами в современных операциях по распространению программ-вымогателей. Согласно записке, любая попытка восстановить, переименовать или изменить зашифрованные файлы может привести к необратимому повреждению данных.

Злоумышленники настаивают на том, что никакое общедоступное программное обеспечение не может восстановить файлы, и утверждают, что доступ к ним может восстановить только их собственный инструмент расшифровки. Пострадавшим предлагается связаться с операторами по указанным адресам электронной почты:

• recovery1@salamati.vip
• recovery1@amniyat.xyz

В сообщении также присутствует элемент временного давления: жертв предупреждают, что сумма выкупа увеличится, если связь не будет установлена в течение 72 часов.

Кража данных и тактика двойного вымогательства

Особенно тревожной особенностью этого варианта программы-вымогателя является утверждение о том, что конфиденциальные данные были украдены до шифрования. Злоумышленники заявляют, что эта информация хранится на частном сервере, находящемся под их контролем.

Согласно сообщению с требованием выкупа, оплата приведет к удалению украденных данных с их серверов. Если выкуп не будет выплачен, операторы угрожают опубликовать или продать информацию. Эта стратегия, известная как двойное вымогательство, усиливает давление на жертв, сочетая шифрование данных с риском публичного раскрытия информации.

Даже если жертвы выполняют требования выкупа, нет гарантии, что злоумышленники предоставят работающий инструмент расшифровки или удалят украденную информацию. По этой причине специалисты по кибербезопасности, как правило, не рекомендуют платить выкуп.

Как распространяется программа-вымогатель Zollo

В кампаниях по распространению программ-вымогателей часто используются обман и социальная инженерия для проникновения в системы. Злоумышленники часто маскируют вредоносные программы под легитимные файлы, чтобы обманом заставить пользователей запустить их.

К распространенным переносчикам инфекции относятся:

• Вредоносные вложения или ссылки, встроенные в фишинговые электронные письма.
• Ложные оповещения технической поддержки, призванные заманить жертв к загрузке вредоносного ПО.
• Взломанное программное обеспечение, неофициальные генераторы ключей и пиратские приложения.
• Устаревшее программное обеспечение с неустраненными уязвимостями
• Взлом сайтов, вредоносная реклама и пиринговые сети для обмена файлами.
• Загрузчики сторонних программ или зараженные USB-накопители

После запуска программа-вымогатель немедленно начинает шифровать файлы и может попытаться распространиться на подключенные системы в пределах одной сети.

Проблемы восстановления и реагирования на инциденты

После шифрования жертвы, как правило, не могут открыть зараженные файлы без ключа расшифровки, полученного от злоумышленников. Восстановление становится возможным только при определенных обстоятельствах, в первую очередь, при наличии надежных резервных копий, которые не были подключены к зараженной системе во время атаки.

После обнаружения вредоносной программы крайне важно незамедлительно удалить её. Если вредоносное ПО остаётся активным на устройстве, оно может продолжать шифровать дополнительные файлы или пытаться распространиться на другие компьютеры в сети. Поэтому быстрая изоляция заражённой системы может ограничить ущерб и предотвратить дальнейшее распространение.

Основные меры безопасности для предотвращения атак программ-вымогателей

Строгие правила безопасности значительно снижают вероятность заражения такими угрозами, как программа-вымогатель Zollo. Эффективная защита требует сочетания упреждающих технических мер контроля и осторожного поведения пользователей.

Регулярное обновление операционных систем, приложений и средств защиты имеет решающее значение, поскольку многие кампании по распространению программ-вымогателей используют уязвимости в устаревшем программном обеспечении. Не менее важно использование надежных антивирусных решений или средств защиты конечных точек, способных обнаруживать подозрительное поведение.

Создание резервных копий в автономном режиме или в облаке — одна из наиболее эффективных мер защиты. Резервные копии следует хранить отдельно от основной системы, чтобы их нельзя было зашифровать во время атаки. В случае заражения чистые резервные копии позволят восстановить систему без уплаты выкупа.

Пользователям также следует с осторожностью относиться к вложениям и файлам, загружаемым из электронных писем. Подозрительные файлы, особенно те, которые претендуют на срочность или требуют немедленных действий, следует проверять перед открытием. Организации часто усиливают эту защиту с помощью фильтрации электронной почты, изолированной среды для вложений и обучения сотрудников основам информационной безопасности.

Сегментация сети может дополнительно снизить риски, ограничивая распространение программ-вымогателей после их попадания в среду. В сочетании с системами контроля доступа и мониторинга сегментация помогает сдерживать распространение инфекций до того, как они затронут критическую инфраструктуру.

Заключительные мысли

Угрозы программ-вымогателей, такие как Zollo Ransomware, подчеркивают важность превентивных мер кибербезопасности. Шифруя файлы, угрожая раскрытием данных и оказывая давление на жертв требованиями выкупа, которые должны быть выполнены в кратчайшие сроки, злоумышленники стремятся заставить их быстро произвести оплату.

Многоуровневая стратегия защиты, сочетающая обновления системы, надежные резервные копии, программное обеспечение для обеспечения безопасности и осторожные действия пользователей, остается наиболее эффективным способом смягчения этих угроз. Раннее обнаружение и быстрое реагирование могут значительно уменьшить последствия инцидентов с программами-вымогателями и защитить ценные данные от необратимой потери.