Avanzi Ransomware

Trong quá trình kiểm tra phần mềm có khả năng đe dọa, các nhà nghiên cứu an ninh mạng đã xác định được một biến thể ransomware có tên Avanzi. Sau khi xâm nhập thành công vào máy tính, Avanzi thực hiện một loạt hành động có hại, bao gồm mã hóa tệp, sửa đổi tên tệp, hiển thị thông báo đòi tiền chuộc cho nạn nhân và tạo ghi chú bổ sung trong tệp 'info.txt'.

Khi bị lây nhiễm, Avanzi sẽ thêm các phần tử cụ thể vào tên tệp, cụ thể là ID của nạn nhân, địa chỉ email 'avanziahelp@cock.li' và phần mở rộng '.avan'. Ví dụ: nó chuyển đổi một tệp như '1.png' thành '1.png.id-9ECFA74E.[avanziahelp@cock.li].avan' và '2.pdf' thành '2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan,' v.v. Một khía cạnh quan trọng cần lưu ý về Avanzi Ransomware là mối liên hệ của nó với nhóm mối đe dọa phần mềm độc hại khét tiếng Dharma .

Mã độc tống tiền Avanzi có thể gây thiệt hại nghiêm trọng cho các thiết bị bị xâm nhập

Thông báo đòi tiền chuộc do Avanzi Ransomware đưa ra bắt đầu bằng một thông báo thông báo cho nạn nhân rằng tất cả các tệp của họ đã được mã hóa nhưng đảm bảo với họ về khả năng phục hồi. Nạn nhân được hướng dẫn thiết lập liên lạc với những kẻ tấn công trong khung thời gian nghiêm ngặt 12 giờ thông qua địa chỉ email được chỉ định (avanziahelp@cock.li), kèm theo một email thay thế (avanzirest@tuta.io) được cung cấp trong trường hợp phản hồi chậm.

Để thể hiện thiện chí, ghi chú hứa hẹn giải mã miễn phí tối đa ba tệp, nêu rõ các điều kiện cụ thể để đủ điều kiện. Hơn nữa, nạn nhân được cung cấp hướng dẫn cách mua Bitcoin, phương thức thanh toán tiền chuộc ưa thích. Ghi chú cảnh báo rõ ràng về một số hành động nhất định, chẳng hạn như đổi tên tệp hoặc cố gắng giải mã của bên thứ ba, để ngăn chặn việc mất dữ liệu vĩnh viễn hoặc dễ bị ảnh hưởng bởi các chiến thuật.

Đáng chú ý là chiến lược của Avanzi nhằm xâm phạm cơ chế phòng thủ chính của hệ thống mục tiêu bằng cách vô hiệu hóa tường lửa. Hơn nữa, nó loại bỏ các bản sao khối lượng bóng tối, do đó đóng các con đường tiềm năng để phục hồi dữ liệu. Phần mềm ransomware lợi dụng các lỗ hổng trong dịch vụ Giao thức máy tính từ xa (RDP) để tạo điều kiện truy cập trái phép.

Avanzi sử dụng các cuộc tấn công từ điển và vũ lực để khai thác thông tin xác thực tài khoản yếu, chủ yếu trên các hệ thống sử dụng dịch vụ RDP. Sự tồn tại dai dẳng của phần mềm độc hại trên hệ thống bị nhiễm gây ra mối lo ngại đáng kể. Ngoài việc mã hóa và xâm phạm hệ thống, Avanzi còn thu thập dữ liệu vị trí và có thể loại trừ có chọn lọc các vị trí được xác định trước, từ đó kéo dài tác động và thời lượng của nó.

Làm cách nào để bảo vệ thiết bị của bạn khỏi các mối đe dọa từ ransomware?

Bảo vệ thiết bị khỏi các mối đe dọa từ ransomware bao gồm việc áp dụng phương pháp tiếp cận nhiều lớp để tăng cường an ninh mạng tổng thể. Dưới đây là một số thực tiễn và khuyến nghị chính:

• Keep Software Update : Thường xuyên cập nhật hệ điều hành, phần mềm và ứng dụng bảo mật. Các bản cập nhật phần mềm thường bao gồm các bản vá bảo mật nhằm giải quyết các lỗ hổng bị ransomware khai thác.
• Cài đặt phần mềm chống phần mềm độc hại đáng tin cậy : Sử dụng phần mềm bảo mật uy tín để cung cấp khả năng bảo vệ theo thời gian thực trước các mối đe dọa khác nhau, bao gồm cả phần mềm tống tiền. Đảm bảo rằng phần mềm được thiết lập để cập nhật và tiến hành quét thường xuyên một cách tự động.
• Sao lưu dữ liệu quan trọng : Thường xuyên sao lưu dữ liệu quan trọng vào ổ cứng ngoài hoặc dịch vụ đám mây an toàn. Điều này đảm bảo rằng ngay cả khi thiết bị của bạn bị xâm phạm, bạn vẫn có thể khôi phục các tệp của mình mà không phải chịu yêu cầu tiền chuộc.
• Sử dụng mật khẩu mạnh và duy nhất : Triển khai mật khẩu mạnh, duy nhất cho tất cả tài khoản và thiết bị. Tránh sử dụng mật khẩu dễ đoán và cân nhắc sử dụng trình quản lý mật khẩu để theo dõi thông tin xác thực phức tạp.
• Thận trọng với các tệp đính kèm và liên kết trong email : Hãy cảnh giác với những email không mong muốn, đặc biệt là những email có chứa tệp đính kèm hoặc liên kết. Tránh mở tệp đính kèm hoặc nhấp vào liên kết từ các nguồn không xác định hoặc đáng ngờ vì chúng có thể chứa ransomware hoặc phần mềm độc hại khác.
• Giáo dục bản thân và người dùng : Luôn cập nhật thông tin về các mối đe dọa an ninh mạng mới nhất, đồng thời giáo dục bản thân và những người dùng khác về những rủi ro khi nhấp vào các liên kết không xác định, tải xuống các tệp đáng ngờ hoặc truy cập các trang web không đáng tin cậy.

Bằng cách áp dụng các biện pháp này, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của ransomware và nâng cao tình trạng bảo mật tổng thể cho thiết bị của họ.

Toàn bộ nội dung của thông báo đòi tiền chuộc do Avanzi Ransomware tạo ra trên các thiết bị bị vi phạm là:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Chú ý!
Không đổi tên các tập tin được mã hóa.
Đừng cố giải mã dữ liệu của bạn bằng phần mềm của bên thứ ba, việc này có thể gây mất dữ liệu vĩnh viễn.
Việc giải mã các tập tin của bạn với sự trợ giúp của bên thứ ba có thể khiến giá tăng lên (họ tính phí của họ vào phí của chúng tôi) hoặc bạn có thể trở thành nạn nhân của một trò lừa đảo.

Tệp văn bản bị Avanzi Ransomware đánh rơi có chứa thông báo sau:

tất cả dữ liệu của bạn đã bị khóa chúng tôi

Bạn muốn quay lại?

viết email avanziahelp@cock.li hoặc avanzirest@tuta.io'