แรนซัมแวร์ Ztax

การปกป้องอุปกรณ์จากภัยคุกคามจากแรนซัมแวร์ได้กลายมาเป็นสิ่งสำคัญ เนื่องจากผู้โจมตีพัฒนาเทคนิคของตนอย่างต่อเนื่อง โปรแกรมแรนซัมแวร์อย่าง Ztax จึงกลายมาเป็นหนึ่งในโปรแกรมที่ซับซ้อนมากขึ้น Ztax เป็นส่วนหนึ่งของกลุ่ม Dharma Ransomware ที่มีชื่อเสียง โดยมีเป้าหมายเพื่อโจมตีข้อมูลของผู้ใช้ เข้ารหัสไฟล์ และเรียกค่าไถ่เพื่อกู้คืนข้อมูล การทำความเข้าใจวิธีการทำงานของ Ztax และการนำแนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่งมาใช้ถือเป็นขั้นตอนสำคัญในการปกป้องระบบของคุณจากภัยคุกคามดังกล่าว

การโจมตีด้วย Ransomware ของ Ztax: มันทำงานอย่างไร

Ztax Ransomware เช่นเดียวกับโปรแกรมอื่นๆ ในตระกูล Dharma จะแทรกซึมเข้าไปในอุปกรณ์อย่างเงียบๆ ก่อนที่จะเริ่มการโจมตี เมื่อเข้าไปในระบบแล้ว Ztax จะเข้ารหัสไฟล์ที่สามารถเข้าถึงได้ทั้งหมด โดยเพิ่มตัวระบุเฉพาะ ที่อยู่อีเมล และนามสกุล ".Ztax" ให้กับไฟล์ที่ได้รับผลกระทบ ตัวอย่างเช่น ไฟล์ที่มีชื่อว่า "1.png" จะกลายเป็น "1.png.id-9ECFA84E.[taxz@cock.li].Ztax" ซึ่งบ่งชี้ว่าไฟล์ดังกล่าวไม่สามารถใช้งานได้อีกต่อไป เว้นแต่ว่าผู้โจมตีจะถอดรหัสได้

หลังจากทำการเข้ารหัสแล้ว Ztax Ransomware จะทิ้งบันทึกเรียกค่าไถ่ไว้ 2 ประเภท ได้แก่ หน้าต่างป๊อปอัปและไฟล์ข้อความชื่อ 'manual.txt' ในทุกโฟลเดอร์ที่ไฟล์ถูกเข้ารหัส บันทึกเหล่านี้จะสั่งให้เหยื่อติดต่อผู้โจมตีทางอีเมลเพื่อเจรจาค่าไถ่ ซึ่งเรียกร้องเป็น Bitcoin ที่น่าสนใจคือ Ztax เสนอให้ถอดรหัสไฟล์ 3 ไฟล์เพื่อ 'ทดสอบ' เพื่อพิสูจน์ความสามารถก่อนจะจ่ายค่าไถ่เต็มจำนวน อย่างไรก็ตาม เหยื่อจะได้รับคำเตือนอย่างเข้มงวดไม่ให้พยายามใช้วิธีการกู้คืนจากภายนอกหรือขอความช่วยเหลือจากบุคคลที่สาม

ครอบครัวของ Dharma Ransomware: ภัยคุกคามที่ไม่ลดละ

เนื่องจากเป็นแรนซัมแวร์ประเภท Dharma Ransomware Ztax จึงมีลักษณะร่วมกันหลายอย่างกับรุ่นก่อนๆ วิธีการเข้ารหัสหลักวิธีหนึ่งเกี่ยวข้องกับการกำหนดเป้าหมายทั้งไฟล์ในเครื่องและไฟล์ที่จัดเก็บในไดรฟ์เครือข่ายที่ใช้ร่วมกัน ซึ่งทำให้เกิดความเสียหายมากขึ้นสำหรับองค์กรที่มีระบบเชื่อมต่อกัน นอกจากนี้ แรนซัมแวร์ประเภท Dharma Ransomware เช่น Ztax ยังเป็นที่รู้จักในเรื่องความต่อเนื่อง เมื่อฝังตัวอยู่ในระบบแล้ว แรนซัมแวร์เหล่านี้จะคัดลอกตัวเองไปยังไดเร็กทอรีระบบหลักและกำหนดค่าให้เริ่มทำงานอัตโนมัติหลังจากรีบูตเครื่องแต่ละครั้ง ทำให้ยากต่อการลบออก

นอกจากนี้ Ztax ยังยุติกระบวนการที่อาจป้องกันการเข้ารหัสไฟล์ เช่น ซอฟต์แวร์ฐานข้อมูลหรือโปรแกรมอ่านไฟล์ ซึ่งช่วยให้มั่นใจได้ว่าแม้แต่ไฟล์ที่ใช้งานอยู่ระหว่างการโจมตีก็สามารถเข้ารหัสได้ นอกจากนี้ Ztax ยังใช้ข้อมูลตำแหน่งทางภูมิศาสตร์เพื่อพิจารณาว่าควรดำเนินการโจมตีด้วยแรนซัมแวร์ต่อไปหรือไม่ ซึ่งอาจทำให้การเข้ารหัสบนอุปกรณ์ที่อยู่ในภูมิภาคที่มีเศรษฐกิจอ่อนแอหยุดลงได้

ลักษณะที่เป็นอันตรายอย่างหนึ่งของ Ztax คือความสามารถในการลบ Shadow Volume Copies ซึ่งเป็นฟีเจอร์สำรองข้อมูลอัตโนมัติในระบบ Windows การทำเช่นนี้จะลบวิธีการกู้คืนข้อมูลทั่วไปวิธีหนึ่งออกไป ทำให้เหยื่อต้องพึ่งพาการชำระเงินค่าไถ่ตามที่เรียกร้องมากขึ้น

ความเสี่ยงของการจ่ายค่าไถ่

แม้ว่า Ztax Ransomware จะเสนอวิธีแก้ปัญหาที่น่าดึงดูดใจ นั่นคือการถอดรหัสเพื่อแลกกับการชำระเงินด้วย Bitcoin แต่ทางเลือกนี้ก็มีความเสี่ยงสูง ไม่มีอะไรรับประกันได้ว่าการจ่ายค่าไถ่จะส่งผลให้สามารถกู้คืนไฟล์ของคุณได้ ในความเป็นจริง เหยื่อจำนวนมากที่ปฏิบัติตามคำเรียกร้องของผู้โจมตีจะไม่เคยได้รับคีย์หรือเครื่องมือในการถอดรหัสเลย แม้ว่าจะกู้คืนไฟล์ได้ การจ่ายค่าไถ่ก็เพียงแต่ส่งเสริมให้มีการดำเนินกิจกรรมผิดกฎหมายต่อไป และยังเป็นเงินทุนสำหรับพัฒนาแรนซัมแวร์ขั้นสูงอีกด้วย

เหยื่อควรทราบว่าเมื่อไฟล์ถูกเข้ารหัสโดย Ztax แล้ว การกู้คืนโดยไม่มีคีย์การถอดรหัสนั้นแทบจะเป็นไปไม่ได้เลย ในกรณีที่แรนซัมแวร์มีข้อบกพร่อง การถอดรหัสอาจเป็นไปได้ แต่ Ztax และโปรแกรมที่เทียบเท่ากับ Dharma ขึ้นชื่อในเรื่องประสิทธิภาพและความแข็งแกร่ง ดังนั้น วิธีที่เชื่อถือได้มากที่สุดในการเข้าถึงข้อมูลของคุณอีกครั้งคือผ่านการสำรองข้อมูลภายนอก

แนวทางปฏิบัติรักษาความปลอดภัยที่ดีที่สุดเพื่อป้องกัน Ztax Ransomware

เนื่องจาก Ztax Ransomware มีลักษณะที่ซับซ้อน การใช้มาตรการรักษาความปลอดภัยที่ครอบคลุมจึงมีความจำเป็นเพื่อป้องกันการโจมตีและลดความเสียหายให้เหลือน้อยที่สุด ด้านล่างนี้คือแนวทางปฏิบัติที่มีประสิทธิผลที่สุดบางส่วน:

1. การสำรองข้อมูลเป็นประจำ : การป้องกันที่ดีที่สุดต่อการเข้ารหัสข้อมูลคือการสำรองข้อมูลไฟล์สำคัญของคุณ ตรวจสอบให้แน่ใจว่าได้บันทึกการสำรองข้อมูลไว้ในหลายตำแหน่ง เช่น ไดรฟ์ภายนอกออฟไลน์หรือบริการคลาวด์ การตัดการเชื่อมต่อที่เก็บข้อมูลสำรองหลังการใช้งานเป็นสิ่งสำคัญ เนื่องจากแรนซัมแวร์สามารถเข้ารหัสไฟล์ในอุปกรณ์ที่เชื่อมต่อได้
2. อัปเดตซอฟต์แวร์อยู่เสมอ Ztax มักจะใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ล้าสมัย การตรวจสอบให้แน่ใจว่าโปรแกรมทั้งหมดของคุณ โดยเฉพาะระบบปฏิบัติการและเครื่องมือป้องกันมัลแวร์ ได้รับการอัปเดตเป็นประจำจะช่วยลดความเสี่ยงของระบบจากจุดอ่อนดังกล่าว
3. เปิดใช้งานการตั้งค่าความปลอดภัยขั้นสูง : ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณเปิดใช้งานแล้ว และซอฟต์แวร์ความปลอดภัยของคุณทำงานอยู่เสมอ พิจารณาใช้เครื่องมือตรวจจับภัยคุกคามขั้นสูงที่ตรวจสอบกิจกรรมที่น่าสงสัยหรือการเปลี่ยนแปลงพฤติกรรมในระบบของคุณ
4. ใช้การตรวจสอบสิทธิ์หลายปัจจัย (MFA) : หากเป็นไปได้ ให้ใช้ MFA สำหรับบัญชีผู้ใช้ ซึ่งจะช่วยเพิ่มระดับความปลอดภัยโดยกำหนดให้ต้องมีการระบุตัวตนหลายรูปแบบเพื่อเข้าถึงข้อมูลหรือระบบที่ละเอียดอ่อน ทำให้ผู้โจมตีเข้าถึงบัญชีของคุณได้ยากขึ้น
5. ระวังอีเมลและการดาวน์โหลด : การติดเชื้อแรนซัมแวร์ส่วนใหญ่ รวมถึง Ztax มักมีต้นตอมาจากอีเมลฟิชชิ่งหรือการดาวน์โหลดที่เป็นอันตราย ควรใช้ความระมัดระวังเมื่อเปิดไฟล์แนบหรือเข้าถึงลิงก์จากแหล่งที่ไม่ระบุหรือไม่คาดคิด แม้ว่าจะดูเหมือนถูกต้องตามกฎหมายก็ตาม
6. ปิดใช้งาน Remote Desktop Protocol (RDP) เมื่อไม่ได้ใช้งาน : Ztax และ Dharma Ransomware เวอร์ชันอื่นๆ มักจะเข้าถึงระบบผ่านการเชื่อมต่อ RDP ที่มีการรักษาความปลอดภัยไม่เหมาะสม หากไม่จำเป็นต้องใช้ RDP ให้ปิดใช้งาน หากจำเป็น ให้ตรวจสอบให้แน่ใจว่าได้รับการรักษาความปลอดภัยด้วยรหัสผ่านที่แข็งแกร่งและไม่ซ้ำใครและการตั้งค่าไฟร์วอลล์ที่เหมาะสม

สรุปแล้ว การป้องกันเป็นสิ่งสำคัญ

Ztax Ransomware เป็นเครื่องเตือนใจอันทรงพลังว่าภัยคุกคามทางไซเบอร์ในปัจจุบันนั้นร้ายแรงเพียงใด เมื่อเข้าถึงระบบได้แล้ว มันจะเข้ารหัสไฟล์สำคัญอย่างมีประสิทธิภาพ ทำให้เหยื่อตกอยู่ในสถานการณ์สิ้นหวัง แม้ว่าผู้โจมตีอาจเสนอให้ถอดรหัสเพื่อแลกกับค่าไถ่ แต่การไม่มีการรับประกันทำให้วิธีนี้มีความเสี่ยง

แนวทางปฏิบัติที่ดีที่สุดคือการป้องกันการติดเชื้อตั้งแต่แรก โดยปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด เช่น การสำรองข้อมูลออฟไลน์และเฝ้าระวังขณะท่องเว็บ ผู้ใช้สามารถลดความเสี่ยงในการตกเป็นเหยื่อของแรนซัมแวร์ Ztax และภัยคุกคามอื่นๆ ที่คล้ายกันได้อย่างมาก โปรดจำไว้ว่าการรักษาสุขอนามัยดิจิทัลให้ดีคือแนวป้องกันแรกและเชื่อถือได้ที่สุดของคุณ

บันทึกค่าไถ่ที่สร้างโดย Ztax Ransomware ระบุว่า:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Message delivered as text files on the infected devices:

You want to return?

write email taxz@cock.li or taxz@cyberfear.com'