Z1n Ransomware

Истражујући претње од малвера, истраживачи су идентификовали З1н Рансомваре, бацајући светло на његову злонамерну природу. З1н функционише као варијанта рансомваре-а, користећи технику где шифрује податке на компромитованим уређајима и после тога захтева откуп за дешифровање.

Након извршења на циљаним уређајима, З1н шифрује датотеке, чинећи их недоступним и мењајући њихова имена датотека. Оригинални наслови датотека пролазе кроз трансформацију, са ексклузивним ИД-ом додељеним жртви, адресом е-поште нападача и додатком екстензије '.з1н'. На пример, датотека првобитно названа '1.доц' би била трансформисана у '1.јпг.ид-9ЕЦФА74Е.[зоходзин@тута.ио].з1н.'

Након процеса шифровања, З1н генерише белешке о откупнини у облику искачућег прозора и текстуалне датотеке под називом „реад.ткт“. Значајно је да се белешке о откупнини испоручене као текстуалне датотеке депонују на радној површини иу свим шифрованим директоријумима. Значајно откриће истраживача је да је З1н повезан са породицом Дхарма Рансомваре , пружајући увид у његову класификацију и порекло.

З1н Рансомваре може да изазове значајну штету на зараженим уређајима

З1н је идентификован као члан породице Дхарма Рансомваре, која се разликује по томе што избегава да заражени уређај постане нефункционалан кроз намерно изостављање шифровања критичних системских датотека. Посебно, овај стратешки приступ има за циљ да осигура да основне функције система остану непромењене, омогућавајући зараженом уређају да остане оперативан упркос активности рансомвера.

Поред ове јединствене карактеристике, варијанте Дхарма Рансомваре-а, укључујући З1н, показују софистицирано понашање прикупљања података о геолокацији након инфилтрације. Ови подаци се затим користе за процену изводљивости настављања са шифровањем, уз разматрање као што је избегавање машина које се налазе у економски слабим регионима или онима у земљама са усклађеним политичким или геополитичким идеологијама.

Након инфилтрирања у систем, ови рансомваре програми онемогућују заштитни зид и успостављају постојаност кроз два механизма. Прво, копирањем малвера на путању %ЛОЦАЛАППДАТА% и регистровањем помоћу одређених тастера за покретање, и друго, аутоматским покретањем малвера након сваког поновног покретања система.

Дхарма рансомваре, укључујући З1н, користи стратегију шифровања која обухвата и локалне и мрежне датотеке. Да би спречио изузећа због датотека које се сматрају „у употреби“, рансомвер прекида процесе повезане са отвореним датотекама, укључујући програме базе података и читаче текстуалних датотека.

Значајна карактеристика је напор рансомвера да избегне двоструко шифровање пратећи листу искључења за податке које је други рансомвер већ закључао. Међутим, признаје се да овај процес није сигуран, јер можда неће обухватити све инфекције сличне природе. Дхарма додатно компликује опције опоравка података брисањем Схадов Волуме Цопиес, ограничавајући потенцијалне путеве за враћање шифрованих датотека.

Жртвама З1н Рансомваре-а остају упутства за плаћање откупнине

Текстуална датотека повезана са З1н Рансомваре-ом служи као кратка комуникација са жртвом, обавештавајући их да су њихови подаци закључани. Подстиче жртву да успостави контакт са нападачима како би покренуо процес опоравка. С друге стране, искачућа порука која прати инфекцију рансомвером пружа детаљније информације. У њему се изричито помиње да су датотеке које су учињене недоступним шифроване. Иако се у белешци уздржава од експлицитног навођења да је плаћање откупнине неопходно за дешифровање, она снажно имплицира такав захтев.

У покушају да пружи привид гаранције опоравка, порука проширује понуду за бесплатни тест дешифровања. Овај тест омогућава жртви да процени могућност опоравка на три датотеке, од којих свака не прелази 5МБ величине и без критичних података. Међутим, вреди напоменути да је жртва упозорена да не тражи помоћ од трећих страна (посредника) и саветује се да не врши измене у предметним фајловима. Ова упозорења наглашавају нагласак оператера рансомваре-а на директној комуникацији и придржавању њихових специфицираних процеса за потенцијални опоравак података.

Стручњаци обесхрабрују давање било каквог новца сајбер криминалцима

Дешифровање датотека шифрованих претњама рансомвера обично захтева интервенцију нападача, што опоравак чини изазовним процесом. Изузеци од овог правила су ретки и често укључују случајеве у којима рансомваре има значајне недостатке.

Жртве које се придржавају захтева за откупнином и даље могу да се нађу без неопходних кључева или алата за дешифровање. Ова непредвидљивост наглашава непоузданост сајбер-криминалаца у испуњавању обећања, због чега се строго саветује да не врше било каква плаћања или да прате упутства ових злонамерних актера. Ангажовање у таквим радњама не само да не гарантује опоравак датотека, већ и подржава и наставља криминалну активност.

Кључно је напоменути да иако уклањање рансомваре-а из оперативног система спречава даље шифровање, оно не враћа аутоматски претходно компромитоване податке. Да би се побољшала безбедност података, препоручује се одржавање резервних копија на више локација, као што су искључени уређаји за складиштење и удаљени сервери. Овај вишеструки приступ складиштењу резервних копија помаже у ублажавању утицаја напада рансомвера и обезбеђује робуснију стратегију опоравка података.

Порука о откупнини која се приказује жртвама у искачућем прозору је:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.

We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.

Please note that these files should not contain important and critical data.

Demo recovery is intended to demonstrate our skills and capabilities.

---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.

We use advanced technology and techniques to maximize the likelihood of a successful recovery.

---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.

We appreciate your participation and feedback.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files created by Z1n Ransomware contain the following message:

all your data has been locked us

You want to return?

write email zohodzin@tuta.io or zohodzin@cock.li'