Z1n Ransomware

Habang sinisiyasat ang mga banta ng malware, natukoy ng mga mananaliksik ang Z1n Ransomware, na nagbibigay-liwanag sa malisyosong kalikasan nito. Gumagana ang Z1n bilang isang variant ng ransomware, na gumagamit ng isang pamamaraan kung saan ine-encrypt nito ang data sa mga nakompromisong device at pagkatapos ay humihingi ng ransom para sa pag-decryption.

Kapag naisakatuparan ang mga naka-target na device, ini-encrypt ng Z1n ang mga file, ginagawa itong hindi naa-access at binabago ang kanilang mga filename. Ang mga orihinal na pamagat ng file ay sumasailalim sa pagbabago, na may eksklusibong ID na itinalaga sa biktima, email address ng mga umaatake, at isang extension na '.z1n' na nakadugtong. Halimbawa, ang isang file na orihinal na pinangalanang '1.doc' ay gagawing '1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.'

Kasunod ng proseso ng pag-encrypt, ang Z1n ay bumubuo ng mga ransom notes sa anyo ng isang pop-up window at isang text file na pinangalanang 'read.txt.' Kapansin-pansin, ang mga ransom notes na inihatid bilang mga text file ay idineposito sa desktop at sa loob ng lahat ng naka-encrypt na direktoryo. Ang isang makabuluhang paghahayag mula sa mga mananaliksik ay ang Z1n ay kaakibat ng pamilya ng Dharma Ransomware , na nagbibigay ng mga insight sa pag-uuri at pinagmulan nito.

Ang Z1n Ransomware ay Maaaring Magdulot ng Malaking Pinsala sa Mga Infected na Device

Ang Z1n ay nakilala bilang isang miyembro ng pamilya ng Dharma Ransomware, na nakikilala ang sarili sa pamamagitan ng pag-iwas sa pag-render ng nahawaang device na hindi maoperahan sa pamamagitan ng sinasadyang pagtanggal ng pag-encrypt ng mga kritikal na file ng system. Kapansin-pansin, ang madiskarteng diskarte na ito ay naglalayong tiyakin na ang mahahalagang function ng system ay mananatiling hindi maaapektuhan, na nagpapahintulot sa nahawaang device na manatiling gumagana sa kabila ng aktibidad ng ransomware.

Bilang karagdagan sa natatanging katangiang ito, ang mga variant ng Dharma Ransomware, kabilang ang Z1n, ay nagpapakita ng isang sopistikadong gawi ng pangangalap ng data ng geolocation pagkatapos ng paglusot. Ang data na ito ay pagkatapos ay ginagamit upang masuri ang pagiging posible ng magpatuloy sa pag-encrypt, na may mga pagsasaalang-alang tulad ng pag-iwas sa mga makina na matatagpuan sa mahinang ekonomiya na mga rehiyon o sa mga bansang may pagkakahanay sa mga politikal o geopolitical na ideolohiya.

Sa paglusot sa isang system, hindi pinapagana ng mga ransomware program na ito ang firewall at nagtatatag ng pagtitiyaga sa pamamagitan ng dalawang mekanismo. Una, sa pamamagitan ng pagkopya ng malware sa %LOCALAPPDATA% path at pagrehistro nito gamit ang mga partikular na Run key, at pangalawa, sa pamamagitan ng awtomatikong pagsisimula ng malware kasunod ng bawat pag-reboot ng system.

Ang Dharma ransomware, kabilang ang Z1n, ay gumagamit ng isang diskarte sa pag-encrypt na sumasaklaw sa parehong mga lokal at nakabahaging network na mga file. Para maiwasan ang mga exemption dahil sa mga file na itinuturing na "ginagamit," winakasan ng ransomware ang mga prosesong nauugnay sa mga binuksan na file, kabilang ang mga database program at text file reader.

Ang isang kapansin-pansing tampok ay ang pagsisikap ng ransomware na maiwasan ang double-encryption sa pamamagitan ng pagsunod sa isang listahan ng pagbubukod para sa data na naka-lock na ng iba pang ransomware. Gayunpaman, kinikilala na ang prosesong ito ay hindi palya, dahil maaaring hindi nito saklaw ang lahat ng mga impeksiyon na may katulad na kalikasan. Pinapalubha pa ng Dharma ang mga opsyon sa pagbawi ng data sa pamamagitan ng pagtanggal sa Shadow Volume Copies, nililimitahan ang mga potensyal na paraan para sa pagpapanumbalik ng mga naka-encrypt na file.

Ang mga Biktima ng Z1n Ransomware ay Naiwan ng Mga Tagubilin sa Pagbabayad ng Ransom

Ang text file na nauugnay sa Z1n Ransomware ay nagsisilbing isang maikling komunikasyon sa biktima, na nagpapaalam sa kanila na ang kanilang data ay naka-lock. Hinihikayat nito ang biktima na makipag-ugnayan sa mga umaatake upang simulan ang proseso ng pagbawi. Sa kabilang banda, ang pop-up na mensahe na kasama ng impeksyon sa ransomware ay nagbibigay ng mas detalyadong impormasyon. Tahasang binanggit nito na ang mga file na nai-render na hindi naa-access ay na-encrypt. Bagama't pinipigilan ng tala ang tahasang pagsasabi na ang pagbabayad ng ransom ay kinakailangan para sa pag-decryption, mariin nitong ipinahihiwatig ang naturang pangangailangan.

Sa isang pagtatangka na magbigay ng isang pagkakatulad ng isang garantiya sa pagbawi, ang mensahe ay nagpapalawak ng isang alok para sa isang libreng pagsubok sa pag-decryption. Ang pagsubok na ito ay nagpapahintulot sa biktima na masuri ang posibilidad ng pagbawi sa tatlong mga file, bawat isa ay hindi lalampas sa 5MB ang laki at walang kritikal na data. Gayunpaman, kapansin-pansin na ang biktima ay binabalaan laban sa paghingi ng tulong mula sa mga ikatlong partido (mga tagapamagitan) at pinapayuhan laban sa paggawa ng mga pagbabago sa mga apektadong file. Binibigyang-diin ng mga babalang ito ang pagbibigay-diin ng mga operator ng ransomware sa direktang komunikasyon at pagsunod sa kanilang mga tinukoy na proseso para sa potensyal na pagbawi ng data.

Hindi Hinihikayat ng Mga Eksperto ang Pagbibigay ng Anumang Pera sa Mga Cybercriminal

Ang pag-decryption ng mga file na naka-encrypt ng mga banta ng ransomware ay karaniwang nangangailangan ng interbensyon ng mga umaatake, na ginagawang isang mapanghamong proseso ang pagbawi. Ang mga pagbubukod sa panuntunang ito ay bihira at kadalasang may kasamang mga pagkakataon kung saan ang ransomware ay may malalaking depekto.

Ang mga biktima na sumusunod sa mga hinihingi ng ransom ay maaari pa ring mahanap ang kanilang mga sarili na walang mga kinakailangang decryption key o tool. Ang hindi mahuhulaan na ito ay binibigyang-diin ang hindi pagiging maaasahan ng mga cybercriminal sa pagtupad sa mga pangako, na ginagawa itong mahigpit na pinapayuhan laban sa paggawa ng anumang mga pagbabayad o pagsunod sa mga tagubilin mula sa mga malisyosong aktor na ito. Ang pagsasagawa ng mga naturang aksyon ay hindi lamang nabigo upang magarantiya ang pagbawi ng file ngunit sinusuportahan din at nagpapatuloy ang kriminal na aktibidad.

Mahalagang tandaan na habang ang pag-alis ng ransomware mula sa operating system ay pumipigil sa mga karagdagang pag-encrypt, hindi nito awtomatikong ibinabalik ang dating nakompromisong data. Upang mapahusay ang kaligtasan ng data, inirerekumenda na panatilihin ang mga backup sa maraming lokasyon, tulad ng mga unplugged na storage device at malayuang server. Ang multi-faceted na diskarte na ito sa backup na storage ay nakakatulong na mapagaan ang epekto ng mga pag-atake ng ransomware at tinitiyak ang isang mas matatag na diskarte sa pagbawi ng data.

Ang ransom note na ipinapakita sa mga biktima sa isang pop-up window ay:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.

We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.

Please note that these files should not contain important and critical data.

Demo recovery is intended to demonstrate our skills and capabilities.

---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.

We use advanced technology and techniques to maximize the likelihood of a successful recovery.

---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.

We appreciate your participation and feedback.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files created by Z1n Ransomware contain the following message:

all your data has been locked us

You want to return?

write email zohodzin@tuta.io or zohodzin@cock.li'