Z1n 勒索软件
在调查恶意软件威胁时,研究人员发现了 Z1n 勒索软件,揭示了其恶意本质。 Z1n 作为勒索软件变体运行,采用一种技术对受感染设备上的数据进行加密,然后要求赎金进行解密。
在目标设备上执行后,Z1n 会对文件进行加密,使其无法访问并修改其文件名。原始文件标题经过转换,分配给受害者的专有 ID、攻击者的电子邮件地址以及附加的“.z1n”扩展名。例如,最初名为“1.doc”的文件将转换为“1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n”。
加密过程完成后,Z1n 会以弹出窗口和名为“read.txt”的文本文件的形式生成勒索信息。值得注意的是,以文本文件形式提供的勒索信息存储在桌面上和所有加密目录中。研究人员的一项重要发现是,Z1n 隶属于Dharma 勒索软件家族,这为了解其分类和起源提供了见解。
目录
Z1n 勒索软件可能会对受感染的设备造成严重损害
Z1n 被认为是 Dharma 勒索软件家族的一员,该家族的特点是通过故意省略加密关键系统文件来避免受感染设备无法操作。值得注意的是,这种战略方法旨在确保基本系统功能不受影响,从而允许受感染的设备在勒索软件活动的情况下保持运行。
除了这一独特特征之外,Dharma 勒索软件变体(包括 Z1n)还表现出在渗透后收集地理位置数据的复杂行为。然后利用这些数据来评估进行加密的可行性,并考虑避免位于经济薄弱地区或政治或地缘政治意识形态一致的国家的机器等。
渗透系统后,这些勒索软件程序会禁用防火墙并通过两种机制建立持久性。首先,将恶意软件复制到%LOCALAPPDATA%路径并使用特定的运行键注册它,其次,在每次系统重新启动后自动启动恶意软件。
Dharma 勒索软件(包括 Z1n)采用了包含本地和网络共享文件的加密策略。为了防止因文件被视为“正在使用”而获得豁免,勒索软件会终止与打开的文件相关的进程,包括数据库程序和文本文件读取器。
一个值得注意的功能是勒索软件通过遵循已被其他勒索软件锁定的数据的排除列表来避免双重加密。然而,众所周知,这个过程并不是万无一失的,因为它可能无法涵盖所有类似性质的感染。 Dharma 通过删除卷影卷副本使数据恢复选项进一步复杂化,从而限制了恢复加密文件的潜在途径。
Z1n 勒索软件的受害者收到支付赎金的指示
与 Z1n 勒索软件相关的文本文件可作为与受害者的简短通信,通知他们数据已被锁定。它鼓励受害者与攻击者建立联系以启动恢复过程。另一方面,勒索软件感染伴随的弹出消息提供了更详细的信息。它明确提到无法访问的文件已被加密。虽然该说明没有明确指出解密需要支付赎金,但它强烈暗示了这样的要求。
为了提供一种表面上的恢复保证,该消息提供了免费解密测试的优惠。该测试允许受害者评估恢复三个文件的可能性,每个文件的大小不超过 5MB,且不含关键数据。然而,值得注意的是,受害者被警告不要向第三方(中介机构)寻求帮助,并建议不要修改受影响的文件。这些警告强调勒索软件运营商强调直接沟通并遵守其指定的潜在数据恢复流程。
专家不鼓励向网络犯罪分子提供任何资金
勒索软件威胁加密的文件的解密通常需要攻击者的干预,这使得恢复成为一个具有挑战性的过程。此规则的例外情况很少见,并且通常涉及勒索软件存在重大缺陷的情况。
遵守赎金要求的受害者可能仍然发现自己没有必要的解密密钥或工具。这种不可预测性凸显了网络犯罪分子兑现承诺的不可靠性,因此强烈建议不要进行任何付款或遵循这些恶意行为者的指示。参与此类行动不仅无法保证文件恢复,而且还会支持和延续犯罪活动。
值得注意的是,虽然从操作系统中删除勒索软件可以防止进一步加密,但它不会自动恢复以前受损的数据。为了增强数据安全,建议在多个位置维护备份,例如拔出的存储设备和远程服务器。这种多方面的备份存储方法有助于减轻勒索软件攻击的影响,并确保更强大的数据恢复策略。
在弹出窗口中向受害者显示的赎金字条是:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
