ZILLA (Dharma) Ransomware

У данашњем дигиталном добу, заштита уређаја и података од претњи малвера је важнија него икад. Рансомваре, посебно опасан тип малвера, може учинити критичне датотеке недоступним и пореметити личне и професионалне активности. Корисници морају бити опрезни и проактивни у заштити својих система од таквих претњи како би избегли потенцијални губитак података, финансијску штету и прекиде у раду.

Преглед ЗИЛЛА Рансомваре-а

ЗИЛЛА Рансомваре је недавно откривена варијанта која припада озлоглашеној породици Дхарма. Једном када се инфилтрира у систем, ЗИЛЛА шифрује датотеке, преименује их и приказује белешке о откупнини и као искачуће прозоре и текстуалне датотеке под називом „ЗИЛЛА-ИНФО.ткт“. Овај злонамерни софтвер је дизајниран да примора жртве да плате откуп за дешифровање својих фајлова, користећи страх и хитност како би их изманипулисали да се придржавају правила.

Шифровање и преименовање датотека

Након инфекције, ЗИЛЛА шифрује датотеке и мења њихова имена како би укључила ИД жртве, адресу е-поште филезилла@цоцк.ли и екстензију „.ЗИЛЛА“. На пример, датотека првобитно названа '1.пнг' биће преименована у '1.пнг.ид-9ЕЦФА84Е.[филезилла@цоцк.ли]. ЗИЛЛА'. Овај образац преименовања се примењује на све погођене датотеке, чинећи очигледним које датотеке су компромитоване.

Детаљи белешке о откупнини

ЗИЛЛА Рансомваре својим жртвама даје поруку о откупнини у којој им се упућује да контактирају сајбер криминалце путем е-поште (филезилла@цоцк.ли) и наведу ИД жртве. Ако не добије одговор у року од 12 сати, жртве се упућују да се јаве на алтернативни е-маил, филезилла@циберфеар.цом. Белешка такође нуди ограничену бесплатну услугу дешифровања за до три датотеке (мање од 3МБ свака) како би се демонстрирала способност дешифровања, упозоравајући на преименовање датотека или коришћење алата за дешифровање трећих страна због ризика од трајног губитка података.

Карактеристике породице Дхарма Рансомваре

ЗИЛЛА је део Дхарма породице, групе рансомвера познатих по неколико карактеристичних карактеристика:

Екстензивно шифровање датотека

Дхарма Рансомваре шифрује датотеке ускладиштене и локално и на мрежним дисковима, значајно повећавајући обим његовог утицаја.

Тактике онемогућавања система

Да би спречио жртве да ублаже штету, Дхарма рансомваре онемогућава заштитни зид система и брише Схадов Волуме Цопиес, које се обично користе за враћање претходних верзија датотека.

Персистенце Мецханисмс

Дхарма варијанте, укључујући ЗИЛЛА, обезбеђују њихову постојаност на зараженим системима тако што се копирају у '%ЛОЦАЛАППДАТА%' директоријум и региструју се са одређеним Рун кључевима у Виндовс регистратору. Ово омогућава рансомверу да се изврши сваки пут када се систем покрене.

Прикупљање података и искључења

Ове варијанте рансомваре-а такође прикупљају податке о локацији и могу искључити одређене унапред одређене локације из шифровања, потенцијално да би се избегло откривање или ометање одређених региона.

Безбедносне мере за заштиту од рансомвера

С обзиром на опасне последице напада рансомвера, изузетно је неопходно да корисници примене робусне безбедносне мере за одбрану својих уређаја и података:

• Редовне резервне копије података : Одржавајте рутинске резервне копије основних датотека на удаљеним серверима или офлајн уређајима за складиштење. Ово осигурава да се подаци могу вратити без плаћања откупнине.
• Коришћење софтвера против малвера : Употребите реномирани софтвер за заштиту од малвера да бисте открили и блокирали рансомваре пре него што може да нанесе штету.
• Ажурирања система и софтвера : Редовно ажурирајте оперативне системе и софтвер да бисте закрпили рањивости које би рансомвер могао да искористи.
• Безбедност е-поште и веба : Будите опрезни са прилозима и везама е-поште, пошто се рансомваре често шири путем е-поште за крађу идентитета. Користите алате за филтрирање е-поште и решења за безбедност на вебу да бисте смањили ризик од излагања.
• Заштитни зид и системи за откривање упада : Конфигуришите заштитне зидове и користите системе за откривање упада да надгледате и блокирате сумњиве мрежне активности.
• Онемогући протокол удаљене радне површине (РДП) : Онемогућите РДП ако није потребан или га барем осигурајте јаким лозинкама и вишефакторском аутентификацијом да бисте спречили неовлашћени приступ.
• Обука и свест корисника : Образујте кориснике о ризицима рансомваре-а и најбољим праксама за избегавање инфекције, као што је препознавање покушаја „пецања“ и избегавање сумњивих преузимања.

Рансомваре, посебно варијанте као што је ЗИЛЛА, значајно угрожава безбедност података. Разумевањем механизама рансомваре-а и применом свеобухватних безбедносних мера, корисници могу да заштите своје системе и податке од ових штетних напада. Редовне резервне копије, робустан безбедносни софтвер и будност корисника су основне компоненте ефикасне стратегије одбране од рансомваре-а.

Порука о откупнини коју ЗИЛЛА Рансомваре приказује у новом прозору гласи:

'ZILLA
Don't worry, you can return all your files!
If you want to restore them, write to the mail: filezilla@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:filezilla@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by ZILLA Ransomware contains the following message from the attackers:

all your data has been locked us

You want to return?

write email filezilla@cock.li or filezilla@cyberfear.com'