Il ransomware Z1n blocca i sistemi delle vittime

Durante un esame di routine di nuovi file, i nostri ricercatori hanno identificato il ransomware Z1n, che appartiene alla famiglia dei ransomware Dharma. Questo software dannoso crittografa i dati e richiede il pagamento per la chiave di decrittazione.

Nel nostro ambiente di test, il ransomware ha crittografato i file e ne ha modificato i nomi. I nomi originali sono stati estesi con un ID univoco della vittima, l'indirizzo e-mail degli aggressori e un'estensione ".z1n". Ad esempio, un file inizialmente denominato "1.jpg" è stato trasformato in "1.jpg.id-9ECFA84E.[zohodzin@tuta.io].z1n."

A seguito di questo processo di crittografia, Z1n ha generato richieste di riscatto visualizzate in una finestra pop-up e un file di testo denominato "read.txt". Questo file di testo è stato inserito sul desktop e in tutte le directory contenenti file crittografati. Il contenuto del file di testo del ransomware Z1n informa la vittima del blocco dei dati e la incoraggia a contattare gli aggressori per il recupero.

Il messaggio pop-up fornisce ulteriori dettagli sull'infezione ransomware, menzionando esplicitamente la crittografia dei file inaccessibili. Pur non affermando direttamente che per la decrittazione debba essere pagato un riscatto, l'implicazione è presente.

Per garantire il recupero, il messaggio offre un test di decrittazione gratuito per tre file, ciascuno non superiore a 5 MB o contenente dati cruciali. La vittima è inoltre fortemente messa in guardia dal rivolgersi a terzi (intermediari) e dall'apportare modifiche ai file interessati.

La richiesta di riscatto Z1n segue l'esempio di Dharma

Il lungo testo della richiesta di riscatto Z1n completa è il seguente:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rifiuto dell'operazione e interruzione della comunicazione: gli intermediari possono rifiutarsi di collaborare per motivi personali, il che potrebbe comportare l'interruzione della comunicazione e rendere difficile la risoluzione dei problemi.

Comprendiamo che la perdita di dati può essere un problema critico e siamo orgogliosi di fornirti servizi di recupero dati crittografati. Ci impegniamo a fornirti il massimo livello di fiducia nelle nostre capacità e offriamo le seguenti garanzie:
-Demo di recupero: forniamo la possibilità di decrittografare fino a tre file di dimensioni fino a 5 MB su base demo.

Tieni presente che questi file non devono contenere dati importanti e critici.

Il recupero demo ha lo scopo di dimostrare le nostre competenze e capacità.

-Qualità garantita: promettiamo che quando intraprenderemo il recupero dei dati, lavoreremo con la massima professionalità e attenzione ai dettagli per garantire i migliori risultati possibili.

Utilizziamo tecnologie e tecniche avanzate per massimizzare la probabilità di un recupero di successo.

-Comunicazione trasparente: il nostro team è sempre disponibile per rispondere alle tue domande e fornirti informazioni aggiornate sul processo di recupero dei dati.

Apprezziamo la tua partecipazione e il tuo feedback.

Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti potrebbe causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o potresti diventare vittima di una truffa.

Come puoi proteggere proattivamente i tuoi dati dal ransomware?

La protezione proattiva dei dati dal ransomware implica l'implementazione di una combinazione di misure preventive e best practice. Ecco diverse strategie per proteggere i tuoi dati:

Backup regolari:
Esegui regolarmente il backup dei tuoi dati importanti su un'unità esterna o un servizio cloud sicuro.
Assicurati che i backup siano automatizzati, frequenti e includano tutti i file critici.

Backup non in linea:
Conserva almeno una copia del backup offline per evitare che il ransomware lo influisca.
Scollegare il dispositivo di backup quando non è in uso per ridurre al minimo il rischio di compromissione.

Aggiornamento software e sistemi:
Aggiorna regolarmente il tuo sistema operativo, il software e le applicazioni per correggere le vulnerabilità.
Abilita gli aggiornamenti automatici quando possibile per rimanere protetto dalle minacce più recenti.

Utilizza un software di sicurezza affidabile:
Installa un software antivirus e antimalware affidabile per rilevare e bloccare il ransomware.
Mantieni aggiornate le definizioni del software di sicurezza per un rilevamento efficace delle minacce.

Educare e formare gli utenti:
Informa i dipendenti o gli utenti sulle e-mail di phishing, sui collegamenti dannosi e su altre tattiche di ingegneria sociale.
Condurre sessioni di formazione regolari per aumentare la consapevolezza delle migliori pratiche di sicurezza informatica.

Segmentazione della rete:
Implementare la segmentazione della rete per isolare sistemi e dati critici da altre parti della rete.
Limitare l'accesso degli utenti solo alle risorse necessarie per i loro ruoli.

Sicurezza della posta elettronica:
Utilizza sistemi di filtraggio della posta elettronica per identificare e bloccare le email di phishing e gli allegati dannosi.
Incoraggia gli utenti a esaminare attentamente le e-mail prima di fare clic sui collegamenti o scaricare gli allegati.