Γνωρίστε μια άλλη προσθήκη στην οικογένεια Dharma: Ztax Ransomware
Οι επιθέσεις ransomware έχουν γίνει μια από τις πιο ενοχλητικές μορφές εγκλήματος στον κυβερνοχώρο, στοχεύοντας τόσο άτομα όσο και οργανισμούς. Το Ztax Ransomware είναι μέρος της διαβόητης οικογένειας ransomware Dharma . Ενώ το ransomware συνήθως στοχεύει να εκβιάσει τα θύματα κρυπτογραφώντας τα δεδομένα τους, το Ztax παρουσιάζει τα δικά του μοναδικά χαρακτηριστικά που το κάνουν ιδιαίτερα ανησυχητικό.
Table of Contents
Τι είναι το Ztax Ransomware;
Το Ztax Ransomware είναι μια απειλή κρυπτογράφησης δεδομένων που κλειδώνει τα θύματα από τα αρχεία τους και απαιτεί πληρωμή για την απελευθέρωσή τους. Αυτό το ransomware, όπως και άλλα στην οικογένεια Dharma, προσθέτει τη δική του επέκταση σε κρυπτογραφημένα αρχεία. Τα μολυσμένα αρχεία μετονομάζονται με ένα μοναδικό αναγνωριστικό θύματος, μια διεύθυνση email που ελέγχεται από τους εισβολείς και την επέκταση ".Ztax". Για παράδειγμα, ένα αρχείο με το όνομα "photo.jpg" θα αλλάξει σε "photo.jpg.id-12345.[taxz@cock.li].Ztax", καθιστώντας το άχρηστο χωρίς αποκρυπτογράφηση.
Μόλις το Ztax ολοκληρώσει τη διαδικασία κρυπτογράφησης, ρίχνει σημειώσεις λύτρων στο μηχάνημα του θύματος. Αυτές οι σημειώσεις εμφανίζονται τόσο σε αναδυόμενα παράθυρα όσο και σε αρχεία κειμένου με το όνομα "manual.txt", τα οποία βρίσκονται στην επιφάνεια εργασίας και σε όλους τους κρυπτογραφημένους φακέλους. Το σημείωμα λύτρων είναι σχετικά σύντομο, καθοδηγώντας τα θύματα να στείλουν email στον εισβολέα για περαιτέρω βήματα για την ανάκτηση των δεδομένων τους.
Δείτε τι λέει το σημείωμα για τα λύτρα:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Οι απαιτήσεις λύτρων και η διαδικασία κρυπτογράφησης
Όπως πολλοί άλλοι, το Ztax Ransomware απαιτεί πληρωμή σε Bitcoin για αποκρυπτογράφηση αρχείων. Λέγεται στα θύματα ότι μπορούν να δοκιμάσουν τη διαδικασία αποκρυπτογράφησης στέλνοντας έως και τρία αρχεία στον εισβολέα, προσφέροντας κάποια διαβεβαίωση ότι η πληρωμή των λύτρων μπορεί να λειτουργήσει. Ωστόσο, οι εισβολείς παρέχουν μια προειδοποίηση κατά της χρήσης εργαλείων τρίτων ή της προσπάθειας τροποποίησης των κρυπτογραφημένων αρχείων, απειλώντας περαιτέρω ζημιά στα δεδομένα.
Ένα αξιοσημείωτο χαρακτηριστικό του Ztax και άλλων παραλλαγών ransomware Dharma είναι ότι δεν κρυπτογραφούν κρίσιμα αρχεία συστήματος, πράγμα που σημαίνει ότι η συσκευή παραμένει λειτουργική ακόμη και μετά την επίθεση. Αυτό το ξεχωρίζει από ορισμένους άλλους τύπους ransomware που μπορούν να ακινητοποιήσουν πλήρως ένα σύστημα. Ωστόσο, αυτό δεν μειώνει τον αντίκτυπο της επίθεσης, καθώς η απώλεια πρόσβασης σε προσωπικά αρχεία ή αρχεία που σχετίζονται με επιχειρήσεις μπορεί να είναι καταστροφική.
Πώς εξαπλώνεται και επιμένει το Ztax Ransomware
Το Ztax Ransomware, όπως και άλλες παραλλαγές του Dharma, συχνά εξαπλώνεται μέσω τρωτών σημείων στις υπηρεσίες Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Επιφάνειας (RDP). Οι επιτιθέμενοι χρησιμοποιούν συνήθως μεθόδους ωμής βίας για να αποκτήσουν πρόσβαση σε κακώς ασφαλή συστήματα. Μόλις μπουν μέσα, απενεργοποιούν τα τείχη προστασίας και ξεκινούν την επίθεση ransomware. Το ηλεκτρονικό ψάρεμα και η κοινωνική μηχανική είναι επίσης κοινές μέθοδοι μόλυνσης, με κακόβουλα συνημμένα ή συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου να αποτελούν τον κύριο μηχανισμό παράδοσης.
Μετά τη μόλυνση μιας συσκευής, το Ztax διασφαλίζει την παραμονή αντιγράφοντας τον εαυτό του σε συγκεκριμένες τοποθεσίες εντός του συστήματος, όπως η διαδρομή %LOCALAPPDATA%. Εγγράφεται επίσης με συγκεκριμένα πλήκτρα Run, επιτρέποντάς του να ξεκινά αυτόματα μετά από κάθε επανεκκίνηση. Αυτή η επιμονή διασφαλίζει ότι το ransomware συνεχίζει να επηρεάζει το σύστημα μέχρι να αφαιρεθεί.
Τι θέλει το Ztax Ransomware
Όπως όλα τα ransomware, ο πρωταρχικός στόχος του Ztax ransomware είναι το οικονομικό κέρδος. Απαιτεί πληρωμή σε Bitcoin, ένα κρυπτονόμισμα που προτιμούν οι εγκληματίες του κυβερνοχώρου λόγω της σχετικής ανωνυμίας του. Ωστόσο, η πληρωμή των λύτρων δεν εγγυάται την ανάκτηση του αρχείου. Σε πολλές περιπτώσεις, τα θύματα δεν λαμβάνουν ποτέ τα κλειδιά ή το λογισμικό αποκρυπτογράφησης, ακόμη και αφού συμμορφωθούν με τις απαιτήσεις των εισβολέων.
Το σημείωμα λύτρων του Ztax τονίζει τους κινδύνους απόπειρας ανάκτησης αρχείων χρησιμοποιώντας εργαλεία τρίτων ή ζητώντας βοήθεια από εξωτερικές υπηρεσίες. Αυτή είναι μια τακτική εκφοβισμού που χρησιμοποιείται συχνά για να εξαναγκάσει τα θύματα να πληρώσουν, παρόλο που η ανάκτηση δεν είναι καθόλου βέβαιη.
Πρόληψη και ανάκτηση από το Ztax Ransomware
Μόλις το Ztax Ransomware μολύνει ένα σύστημα και κρυπτογραφήσει αρχεία, η κατάργησή του δεν θα επαναφέρει τα παραβιασμένα δεδομένα. Ο μόνος αξιόπιστος τρόπος για την ανάκτηση αρχείων είναι η χρήση αντιγράφων ασφαλείας που δημιουργήθηκαν πριν από τη μόλυνση και αποθηκεύτηκαν σε μια ασφαλή, αποσυνδεδεμένη τοποθεσία. Δυστυχώς, το Ztax διαγράφει επίσης το Volume Shadow Copies - μια δυνατότητα αυτόματης δημιουργίας αντιγράφων ασφαλείας σε ορισμένα συστήματα - εξαλείφοντας αυτό ως πιθανή μέθοδο ανάκτησης.
Για την αποτροπή τέτοιων επιθέσεων, οι χρήστες και οι οργανισμοί θα πρέπει να διατηρούν ισχυρές πρακτικές ασφαλείας. Αυτό περιλαμβάνει τη διατήρηση αντιγράφων ασφαλείας σημαντικών δεδομένων σε πολλαπλές ασφαλείς τοποθεσίες, όπως απομακρυσμένους διακομιστές και εξωτερικές συσκευές αποθήκευσης. Επιπλέον, η ισχυρή διαχείριση διαπιστευτηρίων και η τακτική ενημέρωση του λογισμικού ασφαλείας μπορούν να συμβάλουν στον μετριασμό του κινδύνου να πέσετε θύματα ransomware.
Μαθήματα από την επίθεση Ztax Ransomware
Το Ztax Ransomware είναι άλλη μια υπενθύμιση της σημασίας των προληπτικών μέτρων για την ασφάλεια στον κυβερνοχώρο. Η ικανότητά του να κρυπτογραφεί αρχεία χωρίς να καθιστά το σύστημα ανενεργό μπορεί να το κάνει να φαίνεται λιγότερο σοβαρό, αλλά η ζημιά που προκαλεί μπορεί να είναι μακροχρόνια και οικονομικά καταστροφική. Η οικογένεια ransomware Dharma συνεχίζει να εξελίσσεται, εκμεταλλευόμενη ευάλωτα συστήματα και ανυποψίαστους χρήστες.
Για όλους, το κλειδί για την προστασία από ransomware όπως το Ztax είναι η επαγρύπνηση. Η αποφυγή ύποπτων λήψεων, η εφαρμογή ισχυρών πολιτικών κωδικών πρόσβασης και η ασφάλεια των υπηρεσιών RDP μπορούν να μειώσουν σημαντικά τον κίνδυνο επίθεσης. Και το πιο σημαντικό, η ύπαρξη ενημερωμένων αντιγράφων ασφαλείας διασφαλίζει ότι ακόμη και αν χτυπήσει το ransomware, η ανάκτηση είναι δυνατή χωρίς να πληρωθούν στα χέρια των εγκληματιών του κυβερνοχώρου.
