Програма-вимагач Zollo

Шкідливі загрози продовжують удосконалюватися, що робить захист пристроїв критично важливим пріоритетом як для окремих осіб, так і для організацій. Зокрема, атаки програм-вимагачів можуть спричинити серйозні збої в роботі, фінансові втрати та розкриття конфіденційних даних. Однією з нещодавно виявлених загроз є програма-вимагач Zollo, шкідлива програма, призначена для шифрування файлів та вимагання платежів у жертв. Розуміння того, як ця загроза працює та як вона поширюється, є важливим для створення сильнішого захисту від подібних атак.

Поява програми-вимагача Zollo

Програму-вимагач Zollo було ідентифіковано як варіант сімейства програм-вимагачів MedusaLocker. Як і інші представники цього сімейства, вона розроблена для проникнення в системи, шифрування цінних файлів і змушення жертв сплатити викуп в обмін на розшифрування.

Після запуску на зараженому пристрої шкідливе програмне забезпечення сканує систему на наявність доступних файлів і шифрує їх за допомогою потужних криптографічних алгоритмів. Після шифрування програма-вимагач змінює назви файлів, додаючи особливе розширення, таке як «.zollo6». Наприклад:

• 1.png стає 1.png.zollo6
• 2.pdf стає 2.pdf.zollo6

Номер у розширенні може відрізнятися, але результат залишається незмінним: зашифровані файли стають недоступними для користувача. Окрім блокування файлів, програма-вимагач змінює шпалери робочого столу системи та розміщує на пристрої записку з вимогою викупу під назвою «READ_NOTE.html».

Методи шифрування та повідомлення з вимогою викупу

У записці з вимогою викупу, залишеній зловмисниками, стверджується, що файли були захищені за допомогою комбінації шифрування RSA та AES, які є поширеними криптографічними методами в сучасних операціях програм-вимагачів. Згідно з запискою, будь-яка спроба відновити, перейменувати або змінити зашифровані файли може призвести до постійного пошкодження даних.

Зловмисники наполягають на тому, що жодне загальнодоступне програмне забезпечення не може відновити файли, і стверджують, що лише їхній власний інструмент розшифрування може відновити доступ. Жертвам доручено зв’язатися з операторами за наданими адресами електронної пошти:

• recovery1@salamati.vip
• recovery1@amniyat.xyz

У повідомленні також вводиться елемент тиску в часі: жертв попереджають, що сума викупу збільшиться, якщо зв'язок не буде встановлено протягом 72 годин.

Крадіжка даних та тактика подвійного вимагання

Особливо тривожною особливістю цього варіанту програми-вимагача є твердження про те, що конфіденційні дані були викрадені до шифрування. Зловмисники стверджують, що ця інформація зберігається на приватному сервері під їхнім контролем.

Згідно з повідомленням про викуп, оплата призведе до видалення викрадених даних з їхніх серверів. Якщо викуп не буде сплачено, оператори погрожують опублікувати або продати інформацію. Ця стратегія, відома як подвійне вимагання, посилює тиск на жертв, поєднуючи шифрування даних із ризиком розкриття публічних даних.

Навіть коли жертви виконують вимоги викупу, немає гарантії, що зловмисники нададуть функціональний інструмент розшифрування або видалять викрадену інформацію. З цієї причини фахівці з кібербезпеки зазвичай не рекомендують платити викуп.

Як поширюється програма-вимагач Zollo

Кампанії з розповсюдження програм-вимагачів часто покладаються на обман та соціальну інженерію для проникнення в системи. Зловмисники часто маскують шкідливі дані під законні файли, щоб обманом змусити користувачів виконати їх.

До поширених переносників інфекції належать:

• Шкідливі вкладення електронних листів або посилання, вбудовані у фішингові листи
• Фальшиві сповіщення технічної підтримки, розроблені для того, щоб спонукати жертв завантажити шкідливе програмне забезпечення
• Зламане програмне забезпечення, неофіційні генератори ключів та піратські програми
• Застаріле програмне забезпечення з невиправленими вразливостями
• Скомпрометовані веб-сайти, шкідлива реклама та мережі обміну файлами між користувачами
• Сторонні завантажувачі або заражені USB-накопичувачі

Після запуску програма-вимагач негайно починає шифрувати файли та може намагатися поширитися між підключеними системами в одній мережі.

Проблеми відновлення та реагування на інциденти

Після шифрування жертви зазвичай не можуть відкрити уражені файли без ключа розшифрування зловмисників. Відновлення стає можливим лише за певних обставин, зокрема, коли існують безпечні резервні копії, які не були підключені до зараженої системи під час атаки.

Негайне видалення програми-вимагача є надзвичайно важливим після виявлення. Якщо шкідливе програмне забезпечення залишається активним на пристрої, воно може продовжувати шифрувати додаткові файли або намагатися поширитися на інші машини в мережі. Таким чином, швидка ізоляція зараженої системи може обмежити шкоду та запобігти подальшому поширенню.

Основні заходи безпеки для запобігання використанню програм-вимагачів

Суворі звички безпеки значно знижують ймовірність зараження такими загрозами, як Zollo Ransomware. Ефективний захист вимагає поєднання проактивних технічних заходів контролю та обережної поведінки користувачів.

Регулярне оновлення операційних систем, програм та інструментів безпеки є критично важливим, оскільки багато кампаній із застосуванням програм-вимагачів використовують вразливості в застарілому програмному забезпеченні. Не менш важливим є використання надійних антивірусних рішень або рішень для захисту кінцевих точок, здатних виявляти підозрілу поведінку.

Зберігання резервних копій офлайн або в хмарі є одним із найефективніших заходів безпеки. Резервні копії слід зберігати окремо від основної системи, щоб їх не можна було зашифрувати під час атаки. У разі зараження, чисті резервні копії можуть дозволити відновити системи без сплати викупу.

Користувачам також слід обережно ставитися до вкладень електронної пошти та завантажень. Підозрілі файли, особливо ті, що містять стверджується про терміновість або вимагають негайних дій, слід перевіряти перед відкриттям. Організації часто посилюють цей захист за допомогою фільтрації електронної пошти, ізоляції вкладень та навчання з питань безпеки.

Сегментація мережі може ще більше знизити ризик, обмежуючи поширення програм-вимагачів після потрапляння в середовище. У поєднанні з системами контролю доступу та моніторингу сегментація допомагає стримувати інфекції до того, як вони вплинуть на критично важливу інфраструктуру.

Заключні думки

Загрози програм-вимагачів, такі як Zollo Ransomware, підкреслюють важливість проактивних заходів кібербезпеки. Шифруючи файли, погрожуючи викриттям даних та тиснучи на жертв вимогами викупу в обмежений час, зловмисники прагнуть змусити їх здійснювати швидкі платежі.

Багаторівнева стратегія захисту, що поєднує оновлення системи, надійні резервні копії, програмне забезпечення безпеки та обережні методи роботи з користувачами, залишається найефективнішим способом зменшення цих загроз. Раннє виявлення та швидке реагування можуть значно зменшити вплив інцидентів із програмами-вимагачами та захистити цінні дані від безповоротної втрати.