Mød en anden tilføjelse til Dharma-familien: Ztax Ransomware
Ransomware-angreb er blevet en af de mest forstyrrende former for cyberkriminalitet, rettet mod både enkeltpersoner og organisationer. Ztax Ransomware er en del af den berygtede Dharma ransomware-familie . Mens ransomware typisk har til formål at afpresse ofre ved at kryptere deres data, præsenterer Ztax sine egne unikke træk, der gør det særligt bekymrende.
Table of Contents
Hvad er Ztax Ransomware?
Ztax Ransomware er en datakrypterende trussel, der låser ofre ude af deres filer og kræver betaling for deres frigivelse. Denne ransomware tilføjer ligesom andre i Dharma-familien sin egen udvidelse til krypterede filer. Inficerede filer omdøbes med et unikt offer-id, en hackerkontrolleret e-mail-adresse og ".Ztax"-udvidelsen. For eksempel vil en fil med navnet "photo.jpg" blive ændret til "photo.jpg.id-12345.[taxz@cock.li].Ztax", hvilket gør den ubrugelig uden dekryptering.
Når Ztax har fuldført krypteringsprocessen, afgiver den løsesumsedler på ofrets maskine. Disse noter vises både i pop op-vinduer og i tekstfiler med navnet "manual.txt", som findes på skrivebordet og i alle krypterede mapper. Løsesedlen er relativt kort og instruerer ofrene om at sende en e-mail til angriberen for yderligere trin til at gendanne deres data.
Her er hvad løsesumsedlen siger:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Løsepengekrav og krypteringsprocessen
Som mange andre kræver Ztax Ransomware betaling i Bitcoin for fildekryptering. Ofrene får at vide, at de kan teste dekrypteringsprocessen ved at sende op til tre filer til angriberen, hvilket giver en vis sikkerhed for, at betaling af løsesummen kan virke. Angriberne giver dog en advarsel mod at bruge tredjepartsværktøjer eller forsøge at ændre de krypterede filer, hvilket truer med yderligere skade på dataene.
Et bemærkelsesværdigt kendetegn ved Ztax og andre Dharma ransomware-varianter er, at de ikke krypterer kritiske systemfiler, hvilket betyder, at enheden forbliver operationel selv efter angrebet. Dette adskiller det fra nogle andre ransomware-typer, der fuldstændig kan udelukke et system. Dette mindsker dog ikke virkningen af angrebet, da det kan være ødelæggende at miste adgangen til personlige eller forretningsrelaterede filer.
Hvordan Ztax Ransomware spredes og fortsætter
Ztax Ransomware spredes, ligesom andre Dharma-varianter, ofte gennem sårbarheder i Remote Desktop Protocol (RDP)-tjenester. Angribere bruger almindeligvis brute-force metoder til at få adgang til dårligt sikrede systemer. Når de først er inde, deaktiverer de firewalls og starter ransomware-angrebet. Phishing og social engineering er også almindelige infektionsmetoder, hvor ondsindede vedhæftede filer eller links i e-mails er en primær leveringsmekanisme.
Efter at have inficeret en enhed, sikrer Ztax persistens ved at kopiere sig selv til bestemte steder i systemet, såsom %LOCALAPPDATA%-stien. Det registreres også med visse Run-nøgler, hvilket gør det muligt at starte automatisk efter hver genstart. Denne persistens sikrer, at ransomwaren fortsætter med at påvirke systemet, indtil det fjernes.
Hvad Ztax Ransomware ønsker
Som al ransomware er Ztax ransomwares primære mål økonomisk gevinst. Det kræver betaling i Bitcoin, en kryptovaluta, der foretrækkes af cyberkriminelle på grund af dens relative anonymitet. At betale løsesummen garanterer dog ikke filgendannelse. I mange tilfælde modtager ofre aldrig dekrypteringsnøgler eller software, selv efter at have overholdt angribernes krav.
Ztax' løsesumseddel understreger risikoen ved at forsøge at gendanne filer ved hjælp af tredjepartsværktøjer eller bede om hjælp fra eksterne tjenester. Dette er en skræmmetaktik, der ofte bruges til at tvinge ofre til at betale, selvom genopretningen er langt fra sikker.
Forebyggelse og gendannelse fra Ztax Ransomware
Når først Ztax Ransomware har inficeret et system og krypterede filer, vil fjernelse af det ikke gendanne de kompromitterede data. Den eneste pålidelige måde at gendanne filer på er ved at bruge sikkerhedskopier, der blev oprettet før infektionen og gemt på et sikkert, afbrudt sted. Desværre sletter Ztax også Volume Shadow Copies - en automatiseret sikkerhedskopieringsfunktion i nogle systemer - og eliminerer dette som en potentiel gendannelsesmetode.
For at forhindre sådanne angreb bør brugere og organisationer opretholde stærk sikkerhedspraksis. Dette omfatter opbevaring af sikkerhedskopier af vigtige data på flere sikre lokationer, såsom fjernservere og eksterne lagerenheder. Derudover kan robust legitimationsstyring og regelmæssig opdatering af sikkerhedssoftware hjælpe med at mindske risikoen for at blive ofre for ransomware.
Lektioner fra Ztax Ransomware-angrebet
Ztax Ransomware er endnu en påmindelse om vigtigheden af proaktive cybersikkerhedsforanstaltninger. Dens evne til at kryptere filer uden at gøre systemet ubrugeligt kan få det til at virke mindre alvorligt, men den skade, det forårsager, kan være langvarig og økonomisk lammende. Dharma-familien af ransomware fortsætter med at udvikle sig og udnytter sårbare systemer og intetanende brugere.
For alle er nøglen til at beskytte mod ransomware som Ztax årvågenhed. At undgå mistænkelige downloads, implementere stærke adgangskodepolitikker og sikre RDP-tjenester kan reducere risikoen for et angreb betydeligt. Og vigtigst af alt, at have opdaterede sikkerhedskopier på plads sikrer, at selv hvis ransomware rammer, er gendannelse mulig uden at betale i hænderne på cyberkriminelle.
