Z1n Ransomware
Počas skúmania malvérových hrozieb výskumníci identifikovali Z1n Ransomware, čím objasnili jeho zákernú povahu. Z1n funguje ako ransomvérový variant využívajúci techniku, pri ktorej šifruje údaje na napadnutých zariadeniach a následne požaduje výkupné za dešifrovanie.
Po spustení na cieľových zariadeniach Z1n zašifruje súbory, zneprístupní ich a upraví ich názvy súborov. Pôvodné názvy súborov prechádzajú transformáciou, pričom obeti je pridelené exkluzívne ID, e-mailová adresa útočníkov a pridaná prípona „.z1n“. Napríklad súbor pôvodne s názvom „1.doc“ by sa transformoval na „1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.“
Po procese šifrovania Z1n generuje výkupné vo forme kontextového okna a textového súboru s názvom „read.txt“. Najmä výkupné doručené ako textové súbory sú uložené na pracovnej ploche a vo všetkých šifrovaných adresároch. Významným odhalením od výskumníkov je, že Z1n je pridružený k rodine Dharma Ransomware , čo poskytuje pohľad na jeho klasifikáciu a pôvod.
Obsah
Ransomvér Z1n môže spôsobiť značné poškodenie infikovaných zariadení
Z1n je identifikovaný ako člen rodiny Dharma Ransomware, ktorý sa vyznačuje tým, že zabraňuje znefunkčneniu infikovaného zariadenia úmyselným vynechaním šifrovania dôležitých systémových súborov. Cieľom tohto strategického prístupu je najmä zabezpečiť, aby základné funkcie systému zostali nedotknuté, čo umožňuje infikovanému zariadeniu zostať funkčné napriek aktivite ransomvéru.
Okrem tejto jedinečnej charakteristiky varianty Dharma Ransomware, vrátane Z1n, vykazujú sofistikované správanie pri zhromažďovaní geolokačných údajov po infiltrácii. Tieto údaje sa potom použijú na posúdenie uskutočniteľnosti postupu so šifrovaním, pričom sa berie do úvahy napríklad vyhýbanie sa strojom umiestneným v ekonomicky slabých regiónoch alebo v krajinách s politickými alebo geopolitickými ideológiami.
Po infiltrácii do systému tieto ransomvérové programy deaktivujú bránu firewall a zaistia pretrvávanie pomocou dvoch mechanizmov. Po prvé, skopírovaním malvéru do cesty %LOCALAPPDATA% a jeho registráciou pomocou špecifických klávesov Run a po druhé, automatickým spustením malvéru po každom reštarte systému.
Dharma ransomware, vrátane Z1n, využíva stratégiu šifrovania, ktorá zahŕňa lokálne aj sieťovo zdieľané súbory. Aby sa predišlo výnimkám kvôli súborom, ktoré sa považujú za „používané“, ransomvér ukončuje procesy spojené s otvorenými súbormi vrátane databázových programov a čítačiek textových súborov.
Pozoruhodnou vlastnosťou je snaha ransomvéru vyhnúť sa dvojitému šifrovaniu sledovaním zoznamu vylúčení údajov, ktoré už boli uzamknuté iným ransomvérom. Uznáva sa však, že tento proces nie je úplne bezpečný, pretože nemusí pokrývať všetky infekcie podobného charakteru. Dharma ďalej komplikuje možnosti obnovy dát odstránením tieňových kópií zväzku, čím sa obmedzujú potenciálne cesty na obnovenie šifrovaných súborov.
Obetiam ransomvéru Z1n sú ponechané pokyny na zaplatenie výkupného
Textový súbor spojený so Z1n Ransomware slúži ako krátka komunikácia s obeťou, ktorá jej oznamuje, že jej údaje boli uzamknuté. Vyzýva obeť, aby nadviazala kontakt s útočníkmi a iniciovala proces obnovy. Na druhej strane kontextová správa sprevádzajúca infekciu ransomware poskytuje podrobnejšie informácie. Výslovne uvádza, že súbory zneprístupnené boli zašifrované. Hoci sa v poznámke výslovne neuvádza, že na dešifrovanie je potrebné zaplatiť výkupné, takúto požiadavku silne zahŕňa.
V snahe poskytnúť zdanie záruky obnovenia správa rozširuje ponuku na bezplatný test dešifrovania. Tento test umožňuje obeti posúdiť možnosť obnovy troch súborov, z ktorých každý nepresahuje veľkosť 5 MB a neobsahuje kritické údaje. Je však potrebné poznamenať, že obeť je varovaná, aby nevyhľadávala pomoc od tretích strán (sprostredkovateľov) a neodporúča sa vykonávať úpravy dotknutých súborov. Tieto varovania podčiarkujú dôraz prevádzkovateľov ransomvéru na priamu komunikáciu a dodržiavanie ich špecifikovaných procesov pre potenciálnu obnovu dát.
Odborníci odrádzajú od poskytovania akýchkoľvek peňazí kyberzločincom
Dešifrovanie súborov zašifrovaných hrozbami ransomvéru zvyčajne vyžaduje zásah útočníkov, čo robí obnovu náročným procesom. Výnimky z tohto pravidla sú zriedkavé a často zahŕňajú prípady, keď má ransomvér významné nedostatky.
Obete, ktoré spĺňajú požiadavky na výkupné, sa môžu stále ocitnúť bez potrebných dešifrovacích kľúčov alebo nástrojov. Táto nepredvídateľnosť podčiarkuje nespoľahlivosť kyberzločincov pri plnení sľubov, a preto sa dôrazne neodporúča uskutočňovať žiadne platby alebo riadiť sa pokynmi od týchto zlomyseľných aktérov. Zapojenie sa do takýchto akcií nielenže nezaručuje obnovu súborov, ale tiež podporuje a udržiava trestnú činnosť.
Je dôležité poznamenať, že aj keď odstránenie ransomvéru z operačného systému zabráni ďalšiemu šifrovaniu, automaticky neobnoví predtým napadnuté údaje. Na zvýšenie bezpečnosti údajov sa odporúča udržiavať zálohy na viacerých miestach, ako sú napríklad odpojené úložné zariadenia a vzdialené servery. Tento mnohostranný prístup k ukladaniu záloh pomáha zmierniť dopad útokov ransomvéru a zaisťuje robustnejšiu stratégiu obnovy dát.
Výkupné, ktoré sa obetiam zobrazuje vo vyskakovacom okne, je:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
