Z1n Fidye Yazılımı

Kötü amaçlı yazılım tehditlerini araştıran araştırmacılar, Z1n Ransomware'i tespit ederek onun kötü niyetli doğasına ışık tuttu. Z1n, ele geçirilen cihazlardaki verileri şifreleyen ve ardından şifre çözme için fidye talep eden bir teknik kullanan bir fidye yazılımı çeşidi olarak çalışıyor.

Hedeflenen cihazlarda yürütüldükten sonra Z1n, dosyaları şifreler, erişilemez hale getirir ve dosya adlarını değiştirir. Orijinal dosya başlıkları, kurbana özel bir kimlik atanarak, saldırganların e-posta adresiyle ve eklenen '.z1n' uzantısıyla bir dönüşüme uğrar. Örneğin, orijinal adı '1.doc' olan bir dosya, '1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n' dosyasına dönüştürülür.

Şifreleme işleminin ardından Z1n, açılır pencere biçiminde fidye notları ve 'read.txt' adlı bir metin dosyası oluşturur. Özellikle, metin dosyaları olarak teslim edilen fidye notları masaüstünde ve tüm şifrelenmiş dizinlerde saklanır. Araştırmacıların ortaya çıkardığı önemli bir bulgu, Z1n'in Dharma Ransomware ailesine bağlı olduğu ve onun sınıflandırması ve kökenine dair bilgiler sağladığıdır.

Z1n Fidye Yazılımı, Etkilenen Cihazlara Önemli Hasar Verebilir

Z1n, kritik sistem dosyalarını şifrelemeyi kasıtlı olarak ihmal ederek virüslü cihazı çalışmaz hale getirmekten kaçınan Dharma Ransomware ailesinin bir üyesi olarak tanımlanıyor. Özellikle, bu stratejik yaklaşım, temel sistem işlevlerinin etkilenmemesini sağlamayı ve virüslü cihazın fidye yazılımı etkinliğine rağmen çalışır durumda kalmasını sağlamayı amaçlıyor.

Bu benzersiz özelliğe ek olarak, Z1n de dahil olmak üzere Dharma Ransomware çeşitleri, sızma sonrasında coğrafi konum verilerini toplama konusunda karmaşık bir davranış sergiliyor. Bu veriler daha sonra ekonomik açıdan zayıf bölgelerde veya aynı siyasi veya jeopolitik ideolojilere sahip ülkelerde bulunan makinelerden kaçınmak gibi hususlarla şifrelemeye devam etmenin fizibilitesini değerlendirmek için kullanılır.

Bu fidye yazılımı programları, bir sisteme sızdıklarında güvenlik duvarını devre dışı bırakır ve iki mekanizma aracılığıyla kalıcılık sağlar. İlk olarak, kötü amaçlı yazılımı %LOCALAPPDATA% yoluna kopyalayıp belirli Çalıştırma anahtarlarına kaydederek ve ikinci olarak, her sistem yeniden başlatmasının ardından kötü amaçlı yazılımı otomatik olarak başlatarak.

Z1n de dahil olmak üzere Dharma fidye yazılımı, hem yerel hem de ağda paylaşılan dosyaları kapsayan bir şifreleme stratejisi kullanıyor. Dosyaların "kullanımda" olarak değerlendirilmesi nedeniyle muafiyetleri önlemek için fidye yazılımı, veritabanı programları ve metin dosyası okuyucuları da dahil olmak üzere açılan dosyalarla ilişkili işlemleri sonlandırır.

Dikkate değer bir özellik, fidye yazılımının, diğer fidye yazılımları tarafından zaten kilitlenmiş olan veriler için bir dışlama listesini takip ederek çift şifrelemeyi önleme çabasıdır. Ancak benzer nitelikteki tüm enfeksiyonları kapsamayabileceği için bu sürecin kusursuz olmadığı kabul edilmektedir. Dharma, Gölge Birim Kopyalarını silerek veri kurtarma seçeneklerini daha da karmaşık hale getirir ve şifrelenmiş dosyaları geri yüklemeye yönelik potansiyel yolları sınırlandırır.

Z1n Fidye Yazılımının Kurbanları Geriye Fidye Ödemesi Yapma Talimatları Kaldı

Z1n Fidye Yazılımıyla ilişkili metin dosyası, kurbana verilerinin kilitlendiğini bildiren kısa bir iletişim görevi görür. Mağduru, iyileşme sürecini başlatmak için saldırganlarla temas kurmaya teşvik eder. Öte yandan, fidye yazılımı bulaşmasına eşlik eden açılır mesaj daha ayrıntılı bilgi sağlar. Erişilemez hale getirilen dosyaların şifrelendiğinden açıkça bahsediyor. Not, şifre çözme için fidye ödemenin gerekli olduğunu açıkça belirtmekten kaçınsa da, böyle bir gerekliliği güçlü bir şekilde ima ediyor.

Bir tür kurtarma garantisi sağlamak amacıyla mesaj, ücretsiz bir şifre çözme testi teklifini genişletiyor. Bu test, mağdurun, her biri 5 MB'ı geçmeyen ve kritik verilerden yoksun üç dosyanın kurtarılma olasılığını değerlendirmesine olanak tanır. Ancak mağdurun üçüncü kişilerden (aracılardan) yardım istememesi konusunda uyarılması ve etkilenen dosyalarda değişiklik yapmaması yönünde tavsiyede bulunulması dikkat çekicidir. Bu uyarılar, fidye yazılımı operatörlerinin potansiyel veri kurtarma için doğrudan iletişime ve belirledikleri süreçlere uymaya önem verdiklerinin altını çiziyor.

Uzmanlar Siber Suçlulara Para Verilmesine Karşı Çıkıyor

Fidye yazılımı tehditleriyle şifrelenen dosyaların şifresinin çözülmesi genellikle saldırganların müdahalesini gerektirir ve bu da kurtarmayı zorlu bir süreç haline getirir. Bu kuralın istisnaları nadirdir ve genellikle fidye yazılımının önemli kusurlara sahip olduğu durumları içerir.

Fidye taleplerine uyan kurbanlar kendilerini hâlâ gerekli şifre çözme anahtarlarından veya araçlarından yoksun bulabilirler. Bu öngörülemezlik, siber suçluların vaatlerini yerine getirme konusundaki güvenilmezliğini vurguluyor ve bu kötü niyetli aktörlerin herhangi bir ödeme yapmaması veya talimatlarını takip etmemesi şiddetle tavsiye ediliyor. Bu tür eylemlerde bulunmak yalnızca dosya kurtarmayı garanti etmemekle kalmaz, aynı zamanda suç faaliyetini destekler ve sürdürür.

Fidye yazılımını işletim sisteminden kaldırmanın daha fazla şifrelemeyi önlese de daha önce güvenliği ihlal edilmiş verileri otomatik olarak geri yüklemediğini unutmamak çok önemlidir. Veri güvenliğini artırmak için, yedeklerin, fişi çekilmiş depolama aygıtları ve uzak sunucular gibi birden fazla konumda tutulması önerilir. Yedekleme depolamasına yönelik bu çok yönlü yaklaşım, fidye yazılımı saldırılarının etkisinin azaltılmasına yardımcı olur ve daha sağlam bir veri kurtarma stratejisi sağlar.

Kurbanlara açılan pencerede gösterilen fidye notu:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.

We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.

Please note that these files should not contain important and critical data.

Demo recovery is intended to demonstrate our skills and capabilities.

---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.

We use advanced technology and techniques to maximize the likelihood of a successful recovery.

---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.

We appreciate your participation and feedback.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files created by Z1n Ransomware contain the following message:

all your data has been locked us

You want to return?

write email zohodzin@tuta.io or zohodzin@cock.li'