Z1n 勒索軟體
在調查惡意軟體威脅時,研究人員發現了 Z1n 勒索軟體,揭示了其惡意本質。 Z1n 作為勒索軟體變體運行,採用一種技術對受感染設備上的資料進行加密,然後要求贖金進行解密。
在目標裝置上執行後,Z1n 會對檔案進行加密,使其無法存取並修改其檔案名稱。原始檔案標題經過轉換,分配給受害者的專有 ID、攻擊者的電子郵件地址以及附加的「.z1n」副檔名。例如,最初名為「1.doc」的檔案將轉換為「1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n」。
加密過程完成後,Z1n 會以彈出視窗和名為「read.txt」的文字檔案的形式產生勒索資訊。值得注意的是,以文字檔案形式提供的勒索資訊儲存在桌面上和所有加密目錄中。研究人員的一項重要發現是,Z1n 隸屬於Dharma 勒索軟體家族,這為了解其分類和起源提供了見解。
目錄
Z1n 勒索軟體可能會對受感染的裝置造成嚴重損害
Z1n 被認為是 Dharma 勒索軟體家族的一員,該家族的特點是透過故意省略加密關鍵系統檔案來避免受感染設備無法操作。值得注意的是,這種策略方法旨在確保基本系統功能不受影響,從而允許受感染的設備在勒索軟體活動的情況下保持運作。
除了這個獨特特徵之外,Dharma 勒索軟體變體(包括 Z1n)還表現出在滲透後收集地理位置資料的複雜行為。然後利用這些數據來評估進行加密的可行性,並考慮避免位於經濟薄弱地區或政治或地緣政治意識形態一致的國家的機器等。
滲透系統後,這些勒索軟體程式會停用防火牆並透過兩種機制建立持久性。首先,將惡意軟體複製到%LOCALAPPDATA%路徑並使用特定的運行鍵註冊它,其次,在每次系統重新啟動後自動啟動惡意軟體。
Dharma 勒索軟體(包括 Z1n)採用了包含本地和網路共享檔案的加密策略。為了防止因檔案被視為「正在使用」而獲得豁免,勒索軟體會終止與開啟的檔案相關的進程,包括資料庫程式和文字檔案讀取器。
一個值得注意的功能是勒索軟體透過遵循已被其他勒索軟體鎖定的資料的排除清單來避免雙重加密。然而,眾所周知,這個過程並不是萬無一失的,因為它可能無法涵蓋所有類似性質的感染。 Dharma 透過刪除卷影卷副本使資料復原選項更加複雜化,從而限制了恢復加密檔案的潛在途徑。
Z1n 勒索軟體的受害者收到支付贖金的指示
與 Z1n 勒索軟體相關的文字檔案可作為與受害者的簡短通信,通知他們資料已被鎖定。它鼓勵受害者與攻擊者建立聯繫以啟動恢復過程。另一方面,勒索軟體感染伴隨的彈出訊息提供了更詳細的資訊。它明確提到無法存取的文件已加密。雖然該說明沒有明確指出解密需要支付贖金,但它強烈暗示了這樣的要求。
為了提供一種表面上的恢復保證,該訊息提供了免費解密測試的優惠。該測試允許受害者評估恢復三個檔案的可能性,每個檔案的大小不超過 5MB,且不含關鍵資料。然而,值得注意的是,受害者被警告不要向第三方(中介機構)尋求幫助,並建議不要修改受影響的文件。這些警告強調勒索軟體業者強調直接溝通並遵守其指定的潛在資料恢復流程。
專家不鼓勵提供網路犯罪分子任何資金
勒索軟體威脅加密的檔案的解密通常需要攻擊者的干預,這使得復原成為一個具有挑戰性的過程。此規則的例外情況很少見,通常涉及勒索軟體存在重大缺陷的情況。
遵守贖金要求的受害者可能仍然發現自己沒有必要的解密金鑰或工具。這種不可預測性凸顯了網路犯罪分子兌現承諾的不可靠性,因此強烈建議不要進行任何付款或遵循這些惡意行為者的指示。參與此類行動不僅無法保證文件恢復,而且還會支持和延續犯罪活動。
值得注意的是,雖然從作業系統中刪除勒索軟體可以防止進一步加密,但它不會自動恢復先前受損的資料。為了增強資料安全,建議在多個位置維護備份,例如拔出的儲存設備和遠端伺服器。這種多方面的備份儲存方法有助於減輕勒索軟體攻擊的影響,並確保更強大的資料復原策略。
在彈出視窗中向受害者顯示的贖金字條是:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
