Z1n Ransomware låser offersystemer

Under en rutineundersøgelse af nye filer identificerede vores forskere Z1n ransomware, som tilhører Dharma ransomware-familien. Denne ondsindede software krypterer data og kræver betaling for dekrypteringsnøglen.

I vores testmiljø krypterede ransomwaren filer og ændrede deres filnavne. De originale navne blev udvidet med et unikt offer-id, angribernes e-mailadresse og en ".z1n"-udvidelse. For eksempel blev en fil med navnet "1.jpg" transformeret til "1.jpg.id-9ECFA84E.[zohodzin@tuta.io].z1n."

Efter denne krypteringsproces genererede Z1n løsesumsedler vist i et pop op-vindue og en tekstfil med navnet "read.txt". Denne tekstfil blev placeret på skrivebordet og i alle mapper, der indeholder krypterede filer. Indholdet af Z1n ransomware's tekstfil informerer offeret om datalåsen og opfordrer dem til at kontakte angriberne for genopretning.

Pop-up-meddelelsen giver yderligere detaljer om ransomware-infektionen og nævner eksplicit kryptering af utilgængelige filer. Selvom det ikke direkte angiver, at der skal betales en løsesum for dekryptering, er implikationen til stede.

For at sikre gendannelse tilbyder meddelelsen en gratis dekrypteringstest for tre filer, der hver ikke overstiger 5 MB eller indeholder vigtige data. Offeret advares også kraftigt mod at søge bistand fra tredjeparter (mellemmænd) og mod at foretage ændringer i de berørte filer.

Z1n Ransom Note følger Dharmas føring

Den lange tekst i den komplette Z1n løsesum note lyder som følger:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Afvisning af transaktionen og afbrydelse af kommunikation: Mellemmænd kan nægte at samarbejde af personlige årsager, hvilket kan resultere i afbrydelse af kommunikation og gøre det vanskeligt at løse problemer.

Vi forstår, at tab af data kan være et kritisk problem, og vi er stolte af at kunne tilbyde dig krypterede datagendannelsestjenester. Vi bestræber os på at give dig den højeste grad af tillid til vores evner og tilbyder følgende garantier:
-Recovery demo: Vi giver mulighed for at dekryptere op til tre filer op til 5 MB i størrelse på demo-basis.

Bemærk venligst, at disse filer ikke bør indeholde vigtige og kritiske data.

Demo recovery er beregnet til at demonstrere vores færdigheder og evner.

-Garanteret kvalitet: Vi lover, at når vi påtager os din datagendannelse, vil vi arbejde med den største professionalisme og sans for detaljer for at sikre de bedst mulige resultater.

Vi bruger avanceret teknologi og teknikker til at maksimere sandsynligheden for en vellykket bedring.

-Transparent kommunikation: Vores team er altid tilgængeligt til at besvare dine spørgsmål og give dig ajourførte oplysninger om datagendannelsesprocessen.

Vi sætter pris på din deltagelse og din feedback.

Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.

Hvordan kan du proaktivt beskytte dine data mod ransomware?

Proaktiv beskyttelse af dine data mod ransomware involverer implementering af en kombination af forebyggende foranstaltninger og bedste praksis. Her er flere strategier til at hjælpe med at beskytte dine data:

Regelmæssige sikkerhedskopier:
Sikkerhedskopier regelmæssigt dine vigtige data til et eksternt drev eller en sikker cloud-tjeneste.
Sørg for, at sikkerhedskopiering er automatiseret, hyppigt og omfatter alle kritiske filer.

Offline sikkerhedskopier:
Hold mindst én kopi af din backup offline for at forhindre, at ransomware påvirker den.
Afbryd sikkerhedskopieringsenheden, når den ikke er i brug for at minimere risikoen for kompromittering.

Opdater software og systemer:
Opdater jævnligt dit operativsystem, software og applikationer for at rette sårbarheder.
Aktiver automatiske opdateringer, når det er muligt, for at forblive beskyttet mod de seneste trusler.

Brug pålidelig sikkerhedssoftware:
Installer velrenommeret antivirus- og anti-malware-software for at opdage og blokere ransomware.
Hold sikkerhedssoftwaredefinitioner ajour for effektiv trusselsdetektion.

Uddanne og træne brugere:
Uddan medarbejdere eller brugere om phishing-e-mails, ondsindede links og andre sociale teknikker.
Gennemfør regelmæssige træningssessioner for at øge bevidstheden om bedste praksis inden for cybersikkerhed.

Netværkssegmentering:
Implementer netværkssegmentering for at isolere kritiske systemer og data fra andre dele af netværket.
Begræns brugeradgang til kun de ressourcer, der er nødvendige for deres roller.

E-mailsikkerhed:
Brug e-mail-filtreringssystemer til at identificere og blokere phishing-e-mails og ondsindede vedhæftede filer.
Tilskynd brugerne til at granske e-mails, før de klikker på links eller downloader vedhæftede filer.