Avanzi Ransomware

Током испитивања потенцијално претећег софтвера, истраживачи сајбер безбедности су идентификовали варијанту рансомваре-а која се назива Аванзи. Једном када се успешно инфилтрира у рачунар, Аванзи извршава низ штетних радњи, укључујући шифровање датотека, мењање њихових назива датотека, приказивање напомене о откупнини жртвама и генерисање додатне белешке унутар датотеке 'инфо.ткт'.

Након инфекције, Аванзи додаје специфичне елементе у називе датотека, односно ИД жртве, адресу е-поште „аванзиахелп@цоцк.ли“ и екстензију „.аван“. На пример, он трансформише датотеку као што је '1.пнг' у '1.пнг.ид-9ЕЦФА74Е.[аванзиахелп@цоцк.ли].аван' и '2.пдф' у '2.пнг.ид-9ЕЦФА74Е.[ аванзиахелп@цоцк.ли].аван,' и тако даље. Важан аспект који треба приметити у вези са Аванзи Рансомваре-ом је његова повезаност са злогласном Дхарма породицом претњи малвера.

Аванзи Рансомваре би могао да изазове озбиљну штету компромитованим уређајима

Обавештење о откупнини коју је издао Аванзи Рансомваре почиње најавом у којој се жртве обавештавају да су све њихове датотеке подвргнуте шифровању, али им се уверава у могућност опоравка. Жртве се упућују да успоставе контакт са нападачима у строгом временском року од 12 сати путем наведене адресе е-поште (аванзиахелп@цоцк.ли), уз алтернативну е-пошту (аванзирест@тута.ио) за случајеве одложеног одговора.

Да би се показао привид добре воље, белешка обећава бесплатно дешифровање до три датотеке, наводећи специфичне услове за испуњавање услова. Штавише, жртвама се дају упутства за куповину биткоина, преферираног начина плаћања откупнине. У напомени се изричито упозорава на одређене радње, као што су преименовање датотека или покушаји дешифровања треће стране, како би се спречио трајни губитак података или подложност тактици.

Занимљива је Аванзијева стратегија компромитовања примарног одбрамбеног механизма циљаног система онемогућавањем заштитног зида. Штавише, елиминише копије сенки, чиме се затварају потенцијални путеви за опоравак података. Рансомвер користи предности рањивости у услугама протокола за удаљену радну површину (РДП) да би омогућио неовлашћени приступ.

Аванзи користи грубу силу и нападе из речника да би искористио слабе акредитиве налога, првенствено на системима који користе РДП услуге. Упорност малвера на зараженом систему изазива значајну забринутост. Поред шифровања и компромитовања система, Аванзи прикупља податке о локацији и може селективно да искључи унапред дефинисане локације, чиме се продужава његов утицај и трајање.

Како заштитити своје уређаје од претњи рансомвера?

Заштита уређаја од претњи рансомваре-а подразумева усвајање вишеслојног приступа ради побољшања укупне сајбер безбедности. Ево неколико кључних пракси и препорука:

• Ажурирајте софтвер : Редовно ажурирајте оперативне системе, безбедносни софтвер и апликације. Ажурирања софтвера често укључују безбедносне закрпе које се баве рањивостима које искориштава рансомваре.
• Инсталирајте поуздан софтвер за заштиту од малвера : Користите реномирани безбедносни софтвер да бисте обезбедили заштиту у реалном времену од различитих претњи, укључујући рансомваре. Уверите се да је софтвер подешен за аутоматско ажурирање и редовно скенирање.
• Правите резервну копију важних података : Редовно правите резервне копије критичних података на екстерном чврстом диску или безбедној услузи у облаку. Ово осигурава да чак и ако је ваш уређај угрожен, можете да вратите своје датотеке без подлегања захтевима за откупнину.
• Користите јаке и јединствене лозинке : Примените јаке, јединствене лозинке за све налоге и уређаје. Избегавајте коришћење лозинки које је лако погодити и размислите о коришћењу менаџера лозинки да бисте пратили сложене акредитиве.
• Будите опрезни са прилозима и везама е-поште : Пазите на неочекиване поруке е-поште, посебно оне које садрже прилоге или везе. Избегавајте отварање прилога или кликање на везе из непознатих или сумњивих извора, јер они могу садржати рансомваре или други малвер.
• Образујте себе и кориснике : Будите информисани о најновијим претњама у сајбер безбедности и едукујте себе и друге кориснике о ризицима кликања на непознате везе, преузимању сумњивих датотека или посећивању непоузданих веб локација.

Усвајањем ових пракси, корисници могу значајно смањити ризик да постану жртве рансомваре-а и побољшати укупну сигурност својих уређаја.

Пун текст поруке о откупнини коју је генерисао Аванзи Рансомваре на оштећеним уређајима је:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Пажња!
Немојте преименовати шифроване датотеке.
Не покушавајте да дешифрујете своје податке помоћу софтвера треће стране, то може довести до трајног губитка података.
Дешифровање ваших датотека уз помоћ трећих страна може довести до повећања цене (они додају своју накнаду на нашу) или можете постати жртва преваре.

Текстуална датотека коју је испустио Аванзи Рансомваре садржи следећу поруку:

сви ваши подаци су нам закључани

Хоћеш да се вратиш?

напишите имејл аванзиахелп@цоцк.ли или аванзирест@тута.ио'