Avanzi Ransomware

Під час вивчення потенційно небезпечного програмного забезпечення дослідники кібербезпеки виявили варіант програми-вимагача під назвою Avanzi. Після успішного проникнення на комп’ютер Avanzi виконує серію шкідливих дій, зокрема шифрує файли, змінює їх імена, показує жертвам повідомлення про викуп і створює додаткове повідомлення у файлі info.txt.

Після зараження Avanzi додає певні елементи до імен файлів, а саме ідентифікатор жертви, адресу електронної пошти «avanziahelp@cock.li» та розширення «.avan». Наприклад, він перетворює файл типу «1.png» у «1.png.id-9ECFA74E.[avanziahelp@cock.li].avan» і «2.pdf» у «2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan" і так далі. Важливим аспектом програми-вимагача Avanzi є її зв’язок із сумнозвісною сім’єю шкідливих програм Dharma .

Програмне забезпечення-вимагач Avanzi може завдати серйозної шкоди скомпрометованим пристроям

Записка про викуп, надіслана Avanzi Ransomware, починається з оголошення, яке інформує жертв про те, що всі їхні файли пройшли шифрування, але запевняє їх у можливості відновлення. Жертвам пропонується встановити зв’язок із зловмисниками протягом суворого 12-годинного періоду через вказану адресу електронної пошти (avanziahelp@cock.li), з альтернативною електронною адресою (avanzirest@tuta.io), наданою для випадків затримки відповіді.

Щоб продемонструвати схожість доброї волі, записка обіцяє безкоштовне розшифрування до трьох файлів із окресленням конкретних умов для відповідності вимогам. Крім того, жертвам надають вказівки щодо отримання біткойнів, бажаного методу виплати викупу. Примітка чітко застерігає від певних дій, таких як перейменування файлів або спроби стороннього розшифрування, щоб запобігти остаточній втраті даних або сприйнятливості до тактики.

Заслуговує на увагу стратегія Avanzi, спрямована на компрометацію основного механізму захисту цільової системи шляхом відключення брандмауера. Крім того, він усуває тіньові копії томів, тим самим закриваючи потенційні шляхи для відновлення даних. Програма-вимагач використовує вразливості в службах протоколу віддаленого робочого столу (RDP), щоб сприяти несанкціонованому доступу.

Avanzi використовує грубу силу та атаки за словником, щоб використовувати слабкі облікові дані, головним чином у системах, які використовують служби RDP. Стійкість шкідливого програмного забезпечення в зараженій системі викликає значні занепокоєння. На додаток до шифрування та компрометації системи, Avanzi збирає дані про місцезнаходження та може вибірково виключати попередньо визначені місця, подовжуючи таким чином свій вплив і тривалість.

Як захистити свої пристрої від загроз програм-вимагачів?

Захист пристроїв від програм-вимагачів передбачає застосування багаторівневого підходу для підвищення загальної кібербезпеки. Ось кілька основних практик і рекомендацій:

• Оновлюйте програмне забезпечення : регулярно оновлюйте операційні системи, програмне забезпечення безпеки та додатки. Оновлення програмного забезпечення часто включають виправлення безпеки, які усувають уразливості, які використовують програми-вимагачі.
• Встановіть надійне програмне забезпечення для захисту від зловмисного програмного забезпечення : використовуйте надійне програмне забезпечення безпеки, щоб забезпечити захист у реальному часі від різноманітних загроз, зокрема програм-вимагачів. Переконайтеся, що програмне забезпечення налаштовано на автоматичне оновлення та регулярне сканування.
• Резервне копіювання важливих даних : регулярно створюйте резервні копії важливих даних на зовнішній жорсткий диск або безпечну хмарну службу. Це гарантує, що навіть якщо ваш пристрій зламано, ви зможете відновити свої файли, не піддаючись вимогам викупу.
• Використовуйте надійні й унікальні паролі : застосовуйте надійні унікальні паролі для всіх облікових записів і пристроїв. Уникайте використання паролів, які легко вгадати, і подумайте про використання менеджера паролів, щоб відстежувати складні облікові дані.
• Будьте обережні з вкладеннями електронної пошти та посиланнями : будьте обережні з неочікуваними електронними листами, особливо з вкладеннями або посиланнями. Уникайте відкриття вкладень або натискань на посилання з невідомих або підозрілих джерел, оскільки вони можуть містити програму-вимагач або інше шкідливе програмне забезпечення.
• Навчайте себе та користувачів : будьте в курсі останніх загроз кібербезпеці та повідомте собі та іншим користувачам про ризики натискання невідомих посилань, завантаження підозрілих файлів або відвідування ненадійних веб-сайтів.

Використовуючи ці методи, користувачі можуть значно знизити ризик стати жертвою програм-вимагачів і підвищити загальну безпеку своїх пристроїв.

Повний текст повідомлення про викуп, згенерованого програмою-вимагачем Avanzi на зламаних пристроях, такий:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Увага!
Не перейменовуйте зашифровані файли.
Не намагайтеся розшифрувати свої дані за допомогою стороннього програмного забезпечення, це може призвести до остаточної втрати даних.
Розшифровка ваших файлів за допомогою третіх сторін може призвести до підвищення ціни (вони додають свою комісію до нашої), або ви можете стати жертвою шахраїв.

Текстовий файл, видалений Avanzi Ransomware, містить таке повідомлення:

всі ваші дані були заблоковані нами

Ви хочете повернутися?

напишіть електронну адресу avanziahelp@cock.li або avanzirest@tuta.io'