Découvrez un autre ajout à la famille Dharma : le ransomware Ztax

Les attaques de ransomware sont devenues l'une des formes de cybercriminalité les plus perturbatrices, ciblant aussi bien les particuliers que les organisations. Ztax Ransomware fait partie de la célèbre famille de ransomwares Dharma . Alors que les ransomwares visent généralement à extorquer des victimes en cryptant leurs données, Ztax présente ses propres caractéristiques uniques qui le rendent particulièrement préoccupant.

Qu'est-ce que Ztax Ransomware ?

Le ransomware Ztax est une menace de chiffrement de données qui empêche les victimes d'accéder à leurs fichiers et exige un paiement pour les libérer. Ce ransomware, comme d'autres de la famille Dharma, ajoute sa propre extension aux fichiers chiffrés. Les fichiers infectés sont renommés avec un identifiant de victime unique, une adresse e-mail contrôlée par l'attaquant et l'extension « .Ztax ». Par exemple, un fichier nommé « photo.jpg » serait modifié en « photo.jpg.id-12345.[taxz@cock.li].Ztax », le rendant inutilisable sans déchiffrement.

Une fois le processus de chiffrement terminé, Ztax dépose des notes de rançon sur la machine de la victime. Ces notes apparaissent à la fois dans des fenêtres contextuelles et dans des fichiers texte nommés « manual.txt », qui se trouvent sur le bureau et dans tous les dossiers chiffrés. La note de rançon est relativement brève, demandant aux victimes d'envoyer un e-mail à l'attaquant pour connaître les étapes à suivre pour récupérer leurs données.

Voici ce que dit la demande de rançon :

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Les demandes de rançon et le processus de cryptage

Comme beaucoup d’autres, Ztax Ransomware exige un paiement en Bitcoin pour le décryptage des fichiers. Les victimes sont informées qu’elles peuvent tester le processus de décryptage en envoyant jusqu’à trois fichiers à l’attaquant, ce qui leur donne une certaine assurance que le paiement de la rançon pourrait fonctionner. Cependant, les attaquants mettent en garde contre l’utilisation d’outils tiers ou la tentative de modification des fichiers cryptés, ce qui risque d’endommager davantage les données.

L'une des caractéristiques notables de Ztax et des autres variantes de ransomware Dharma est qu'ils ne chiffrent pas les fichiers système critiques, ce qui signifie que l'appareil reste opérationnel même après l'attaque. Cela le distingue de certains autres types de ransomwares qui peuvent complètement paralyser un système. Cependant, cela ne diminue pas l'impact de l'attaque, car la perte de l'accès à des fichiers personnels ou professionnels peut être dévastatrice.

Comment le ransomware Ztax se propage et persiste

Le ransomware Ztax, comme d'autres variantes de Dharma, se propage souvent via des vulnérabilités dans les services RDP (Remote Desktop Protocol). Les attaquants utilisent généralement des méthodes de force brute pour accéder à des systèmes mal sécurisés. Une fois à l'intérieur, ils désactivent les pare-feu et lancent l'attaque par ransomware. Le phishing et l'ingénierie sociale sont également des méthodes d'infection courantes, les pièces jointes ou les liens malveillants dans les e-mails étant le principal mécanisme de diffusion.

Après avoir infecté un appareil, Ztax assure sa persistance en se copiant à des emplacements spécifiques du système, tels que le chemin %LOCALAPPDATA%. Il s'enregistre également avec certaines clés d'exécution, ce qui lui permet de démarrer automatiquement après chaque redémarrage. Cette persistance garantit que le ransomware continue d'affecter le système jusqu'à sa suppression.

Ce que veut le ransomware Ztax

Comme tous les ransomwares, le ransomware Ztax a pour objectif premier le gain financier. Il exige un paiement en Bitcoin, une cryptomonnaie prisée par les cybercriminels en raison de son anonymat relatif. Cependant, le paiement de la rançon ne garantit pas la récupération des fichiers. Dans de nombreux cas, les victimes ne reçoivent jamais les clés de décryptage ou le logiciel, même après avoir satisfait aux exigences des attaquants.

La demande de rançon de Ztax met l'accent sur les risques liés à la tentative de récupération de fichiers à l'aide d'outils tiers ou en demandant l'aide de services externes. Il s'agit d'une tactique de peur souvent utilisée pour contraindre les victimes à payer, même si la récupération est loin d'être certaine.

Prévention et récupération après le ransomware Ztax

Une fois que Ztax Ransomware a infecté un système et chiffré des fichiers, sa suppression ne restaurera pas les données compromises. Le seul moyen fiable de récupérer des fichiers consiste à utiliser des sauvegardes créées avant l'infection et stockées dans un emplacement sûr et déconnecté. Malheureusement, Ztax supprime également les copies fantômes de volume, une fonction de sauvegarde automatisée sur certains systèmes, ce qui élimine cette méthode de récupération potentielle.

Pour prévenir de telles attaques, les utilisateurs et les organisations doivent adopter des pratiques de sécurité rigoureuses. Cela inclut la conservation de sauvegardes de données importantes dans plusieurs emplacements sécurisés, tels que des serveurs distants et des périphériques de stockage externes. En outre, une gestion rigoureuse des identifiants et une mise à jour régulière des logiciels de sécurité peuvent contribuer à atténuer le risque d'être victime d'un ransomware.

Les leçons de l'attaque du ransomware Ztax

Le ransomware Ztax est un autre rappel de l’importance des mesures proactives de cybersécurité. Sa capacité à crypter les fichiers sans rendre le système inutilisable peut sembler moins grave, mais les dommages qu’il provoque peuvent être durables et financièrement paralysants. La famille de ransomwares Dharma continue d’évoluer, exploitant les systèmes vulnérables et les utilisateurs peu méfiants.

Pour tous, la clé de la protection contre les ransomwares comme Ztax est la vigilance. Éviter les téléchargements suspects, mettre en œuvre des politiques de mots de passe solides et sécuriser les services RDP peuvent réduire considérablement le risque d'une attaque. Et surtout, disposer de sauvegardes à jour garantit que même en cas de ransomware, la récupération est possible sans payer entre les mains des cybercriminels.

Par Willa
October 22, 2024
Ransomware
Français
October 22, 2024
Ransomware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.