ZILLA (ธรรม) แรนซั่มแวร์
ในยุคดิจิทัลปัจจุบัน การปกป้องอุปกรณ์และข้อมูลจากภัยคุกคามมัลแวร์มีความสำคัญมากกว่าที่เคย Ransomware ซึ่งเป็นมัลแวร์ประเภทที่เป็นอันตรายอย่างยิ่ง สามารถทำให้ไฟล์สำคัญไม่สามารถเข้าถึงได้ และรบกวนกิจกรรมส่วนตัวและทางอาชีพ ผู้ใช้จะต้องระมัดระวังและกระตือรือร้นในการปกป้องระบบของตนจากภัยคุกคามดังกล่าว เพื่อหลีกเลี่ยงการสูญเสียข้อมูลที่อาจเกิดขึ้น ความเสียหายทางการเงิน และการหยุดทำงานของการปฏิบัติงาน
สารบัญ
ภาพรวมของแรนซั่มแวร์ ZILLA
ZILLA Ransomware เป็นตัวแปรที่ค้นพบเมื่อเร็ว ๆ นี้ซึ่งเป็นของตระกูลธรรมะที่โด่งดัง เมื่อมันแทรกซึมเข้าไปในระบบ ZILLA จะเข้ารหัสไฟล์ เปลี่ยนชื่อ และแสดงบันทึกค่าไถ่ทั้งในรูปแบบป๊อปอัปและไฟล์ข้อความชื่อ 'ZILLA-INFO.txt' มัลแวร์นี้ได้รับการออกแบบมาเพื่อบังคับเหยื่อให้จ่ายค่าไถ่สำหรับการถอดรหัสไฟล์ของพวกเขา โดยใช้ความกลัวและความเร่งด่วนในการจัดการกับพวกเขาให้ปฏิบัติตามข้อกำหนด
การเข้ารหัสไฟล์และการเปลี่ยนชื่อ
เมื่อติดไวรัส ZILLA จะเข้ารหัสไฟล์และเปลี่ยนชื่อไฟล์ให้รวม ID ของเหยื่อ ที่อยู่อีเมล filezilla@cock.li และนามสกุล '.ZILLA' ตัวอย่างเช่น ไฟล์เดิมชื่อ '1.png' จะถูกเปลี่ยนชื่อเป็น '1.png.id-9ECFA84E.[filezilla@cock.li] ซิลล่า'. รูปแบบการเปลี่ยนชื่อนี้ใช้กับไฟล์ที่ได้รับผลกระทบทั้งหมด ทำให้ชัดเจนว่าไฟล์ใดถูกบุกรุก
รายละเอียดหมายเหตุค่าไถ่
ZILLA Ransomware นำเสนอเหยื่อด้วยข้อความเรียกค่าไถ่โดยแนะนำให้พวกเขาติดต่ออาชญากรไซเบอร์ผ่านทางอีเมล (filezilla@cock.li) และระบุรหัสเหยื่อด้วย หากไม่ได้รับการตอบกลับภายใน 12 ชั่วโมง ผู้เสียหายจะถูกส่งต่อไปยังอีเมลอื่น filezilla@cyberfear.com หมายเหตุนี้ยังเสนอบริการถอดรหัสฟรีแบบจำกัดสำหรับไฟล์สูงสุดสามไฟล์ (แต่ละไฟล์น้อยกว่า 3MB) เพื่อสาธิตความสามารถในการถอดรหัส คำเตือนเกี่ยวกับการเปลี่ยนชื่อไฟล์ หรือการใช้เครื่องมือถอดรหัสของบุคคลที่สาม เนื่องจากความเสี่ยงที่ข้อมูลจะสูญหายอย่างถาวร
ลักษณะของกลุ่ม Dharma Ransomware
ZILLA เป็นส่วนหนึ่งของตระกูล Dharma ซึ่งเป็นกลุ่มของแรนซัมแวร์ที่เป็นที่รู้จักจากคุณสมบัติที่โดดเด่นหลายประการ:
การเข้ารหัสไฟล์ที่กว้างขวาง
Dharma Ransomware เข้ารหัสไฟล์ที่จัดเก็บทั้งภายในเครื่องและบนไดรฟ์ที่แชร์เครือข่าย ซึ่งเพิ่มขอบเขตของผลกระทบอย่างมีนัยสำคัญ
ระบบปิดการใช้งานกลยุทธ์
เพื่อป้องกันไม่ให้เหยื่อบรรเทาความเสียหาย Dharma ransomware จะปิดการใช้งานไฟร์วอลล์ของระบบและลบ Shadow Volume Copies ซึ่งโดยทั่วไปจะใช้สำหรับการกู้คืนไฟล์เวอร์ชันก่อนหน้า
กลไกการคงอยู่
ตัวแปร Dharma รวมถึง ZILLA ช่วยให้มั่นใจได้ถึงความคงอยู่ในระบบที่ติดไวรัสโดยการคัดลอกตัวเองไปยังไดเร็กทอรี '%LOCALAPPDATA%' และลงทะเบียนด้วยคีย์ Run เฉพาะในรีจิสทรีของ Windows ซึ่งช่วยให้แรนซัมแวร์ดำเนินการทุกครั้งที่ระบบเริ่มทำงาน
การรวบรวมข้อมูลและการยกเว้น
แรนซัมแวร์รูปแบบต่างๆ เหล่านี้ยังรวบรวมข้อมูลตำแหน่งและสามารถยกเว้นตำแหน่งที่กำหนดไว้ล่วงหน้าบางแห่งจากการเข้ารหัส ซึ่งอาจเพื่อหลีกเลี่ยงการตรวจจับหรือรบกวนภูมิภาคที่เฉพาะเจาะจง
มาตรการรักษาความปลอดภัยเพื่อป้องกัน Ransomware
เมื่อพิจารณาถึงผลที่ตามมาที่เป็นอันตรายจากการโจมตีของแรนซัมแวร์ ผู้ใช้จึงมีความจำเป็นอย่างยิ่งที่ต้องใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งเพื่อปกป้องอุปกรณ์และข้อมูลของตน:
- การสำรองข้อมูลเป็นประจำ : รักษาการสำรองข้อมูลไฟล์สำคัญเป็นประจำบนเซิร์ฟเวอร์ระยะไกลหรืออุปกรณ์จัดเก็บข้อมูลออฟไลน์ สิ่งนี้ทำให้มั่นใจได้ว่าข้อมูลสามารถกู้คืนได้โดยไม่ต้องจ่ายค่าไถ่
- การใช้ซอฟต์แวร์ป้องกันมัลแวร์ : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงเพื่อเปิดเผยและบล็อกแรนซัมแวร์ก่อนที่มันจะก่อให้เกิดอันตราย
- การอัปเดตระบบและซอฟต์แวร์ : อัปเดตระบบปฏิบัติการและซอฟต์แวร์เป็นประจำเพื่อแก้ไขช่องโหว่ที่แรนซัมแวร์อาจหาประโยชน์ได้
- ความปลอดภัยของอีเมลและเว็บไซต์ : ระมัดระวังไฟล์แนบและลิงก์อีเมล เนื่องจากแรนซัมแวร์มักแพร่กระจายผ่านอีเมลฟิชชิ่ง ใช้เครื่องมือกรองอีเมลและโซลูชั่นรักษาความปลอดภัยบนเว็บเพื่อลดความเสี่ยงของการเปิดเผย
- ไฟร์วอลล์และระบบตรวจจับการบุกรุก : กำหนดค่าไฟร์วอลล์และใช้ระบบตรวจจับการบุกรุกเพื่อตรวจสอบและบล็อกกิจกรรมเครือข่ายที่น่าสงสัย
- ปิดการใช้งาน Remote Desktop Protocol (RDP) : ปิดการใช้งาน RDP หากไม่จำเป็น หรืออย่างน้อยก็รักษาความปลอดภัยด้วยรหัสผ่านที่รัดกุมและการตรวจสอบสิทธิ์แบบหลายปัจจัยเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
- การฝึกอบรมและการตระหนักรู้แก่ผู้ใช้ : ให้ความรู้ผู้ใช้เกี่ยวกับความเสี่ยงของแรนซัมแวร์และแนวทางปฏิบัติที่ดีที่สุดในการหลีกเลี่ยงการติดไวรัส เช่น การตระหนักถึงความพยายามในการฟิชชิ่งและการหลีกเลี่ยงการดาวน์โหลดที่น่าสงสัย
แรนซัมแวร์ โดยเฉพาะรูปแบบต่างๆ เช่น ZILLA คุกคามความปลอดภัยของข้อมูลอย่างมาก ด้วยการทำความเข้าใจกลไกของแรนซัมแวร์และการใช้มาตรการรักษาความปลอดภัยที่ครอบคลุม ผู้ใช้สามารถปกป้องระบบและข้อมูลของตนจากการโจมตีที่เป็นอันตรายเหล่านี้ได้ การสำรองข้อมูลเป็นประจำ ซอฟต์แวร์ความปลอดภัยที่แข็งแกร่ง และการเฝ้าระวังผู้ใช้เป็นองค์ประกอบพื้นฐานของกลยุทธ์การป้องกันแรนซัมแวร์ที่มีประสิทธิภาพ
บันทึกค่าไถ่ที่แสดงโดย ZILLA Ransomware เมื่อหน้าต่างใหม่อ่านว่า:
'ZILLA
Don't worry, you can return all your files!
If you want to restore them, write to the mail: filezilla@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:filezilla@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text file created by ZILLA Ransomware contains the following message from the attackers:
all your data has been locked us
You want to return?
write email filezilla@cock.li or filezilla@cyberfear.com'
