Z1n Ransomware
Досліджуючи загрози зловмисного програмного забезпечення, дослідники ідентифікували програму-вимагач Z1n, проливаючи світло на її шкідливу природу. Z1n працює як варіант програми-вимагача, використовуючи техніку, за якої він шифрує дані на скомпрометованих пристроях і згодом вимагає викуп за розшифровку.
Після виконання на цільових пристроях Z1n шифрує файли, роблячи їх недоступними та змінюючи їхні імена. Оригінальні назви файлів зазнають трансформації, до якої жертві призначається ексклюзивний ідентифікатор, адреса електронної пошти зловмисників і додається розширення «.z1n». Наприклад, файл із початковою назвою «1.doc» буде перетворено на «1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n.»
Після процесу шифрування Z1n генерує повідомлення про викуп у формі спливаючого вікна та текстового файлу під назвою «read.txt». Примітно, що повідомлення про викуп, доставлені у вигляді текстових файлів, зберігаються на робочому столі та в усіх зашифрованих каталогах. Важливим відкриттям дослідників є те, що Z1n пов’язаний із сімейством Dharma Ransomware , що дає змогу зрозуміти його класифікацію та походження.
Зміст
Програмне забезпечення-вимагач Z1n може завдати значної шкоди зараженим пристроям
Z1n ідентифіковано як член сімейства програм-вимагачів Dharma, які відрізняються тим, що уникають виведення зараженого пристрою з ладу через навмисне пропускання шифрування критичних системних файлів. Примітно, що цей стратегічний підхід спрямований на те, щоб основні функції системи залишалися незмінними, дозволяючи зараженому пристрою залишатися в робочому стані, незважаючи на активність програм-вимагачів.
На додаток до цієї унікальної характеристики, варіанти Dharma Ransomware, включаючи Z1n, демонструють складну поведінку збору даних геолокації після проникнення. Потім ці дані використовуються для оцінки доцільності продовження шифрування, враховуючи такі міркування, як уникнення машин, розташованих в економічно слабких регіонах або в країнах з одностайними політичними чи геополітичними ідеологіями.
Після проникнення в систему ці програми-вимагачі вимикають брандмауер і встановлюють стійкість за допомогою двох механізмів. По-перше, шляхом копіювання зловмисного програмного забезпечення до шляху %LOCALAPPDATA% і реєстрації його за допомогою певних ключів запуску, а по-друге, шляхом автоматичного запуску зловмисного програмного забезпечення після кожного перезавантаження системи.
Програми-вимагачі Dharma, включаючи Z1n, використовують стратегію шифрування, яка охоплює як локальні, так і спільні файли в мережі. Щоб запобігти виняткам через файли, які вважаються «використовуваними», програмне забезпечення-вимагач припиняє процеси, пов’язані з відкритими файлами, включаючи програми баз даних і читачі текстових файлів.
Примітною особливістю програми-вимагача є спроба уникнути подвійного шифрування, дотримуючись списку виключень для даних, уже заблокованих іншими програмами-вимагачами. Однак визнається, що цей процес не є надійним, оскільки він може не охоплювати всі інфекції подібного характеру. Dharma ще більше ускладнює варіанти відновлення даних, видаляючи тіньові копії томів, обмежуючи потенційні шляхи відновлення зашифрованих файлів.
Жертви програм-вимагачів Z1n отримують інструкції щодо оплати викупу
Текстовий файл, пов’язаний із програмою-вимагачем Z1n, служить для короткого повідомлення жертві, сповіщаючи її про те, що її дані заблоковано. Це спонукає жертву встановити контакт із зловмисниками, щоб розпочати процес відновлення. З іншого боку, спливаюче повідомлення, яке супроводжує зараження програмою-вимагачем, надає більш детальну інформацію. У ньому чітко зазначено, що файли, які стали недоступними, були зашифровані. Хоча в примітці утримується від прямого вказівки на те, що для розшифровки необхідна сплата викупу, вона чітко передбачає таку вимогу.
Намагаючись надати схожість гарантії відновлення, повідомлення розширює пропозицію щодо безкоштовного тесту розшифровки. Цей тест дозволяє жертві оцінити можливість відновлення трьох файлів, кожен з яких не перевищує 5 МБ за розміром і не містить критичних даних. Проте варто зазначити, що жертву застерігають від звернення за допомогою до третіх сторін (посередників) і не вносять зміни до файлів, які зазнають впливу. Ці попередження підкреслюють, що оператори програм-вимагачів наголошують на прямому спілкуванні та дотриманні визначених ними процесів для потенційного відновлення даних.
Експерти не рекомендують давати будь-які гроші кіберзлочинцям
Розшифровка файлів, зашифрованих програмами-вимагачами, як правило, вимагає втручання зловмисників, що робить відновлення складним процесом. Винятки з цього правила є рідкісними й часто стосуються випадків, коли програмне забезпечення-вимагач має значні недоліки.
Жертви, які підкоряться вимогам викупу, все одно можуть опинитися без необхідних ключів чи інструментів розшифровки. Ця непередбачуваність підкреслює ненадійність кіберзлочинців у виконанні обіцянок, тому їм настійно не рекомендується здійснювати будь-які платежі або виконувати вказівки цих зловмисників. Участь у таких діях не тільки не гарантує відновлення файлів, але й підтримує та продовжує злочинну діяльність.
Важливо зауважити, що хоча видалення програм-вимагачів з операційної системи запобігає подальшому шифруванню, воно не відновлює автоматично раніше скомпрометовані дані. Щоб підвищити безпеку даних, рекомендується зберігати резервні копії в кількох місцях, наприклад у від’єднаних накопичувачах і на віддалених серверах. Цей багатогранний підхід до зберігання резервних копій допомагає пом’якшити вплив атак програм-вимагачів і забезпечує більш надійну стратегію відновлення даних.
Записка про викуп, яка відображається жертвам у спливаючому вікні:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
