Ecco un'altra aggiunta alla famiglia Dharma: Ztax Ransomware
Gli attacchi ransomware sono diventati una delle forme più dirompenti di criminalità informatica, prendendo di mira sia individui che organizzazioni. Ztax Ransomware fa parte della famigerata famiglia di ransomware Dharma . Mentre il ransomware in genere mira a estorcere denaro alle vittime crittografando i loro dati, Ztax presenta tratti unici che lo rendono particolarmente preoccupante.
Table of Contents
Cos'è il ransomware Ztax?
Ztax Ransomware è una minaccia di crittografia dei dati che impedisce alle vittime di accedere ai propri file e richiede un pagamento per il loro rilascio. Questo ransomware, come altri nella famiglia Dharma, aggiunge la propria estensione ai file crittografati. I file infetti vengono rinominati con un ID vittima univoco, un indirizzo email controllato dall'aggressore e l'estensione ".Ztax". Ad esempio, un file denominato "photo.jpg" verrebbe modificato in "photo.jpg.id-12345.[taxz@cock.li].Ztax", rendendolo inutilizzabile senza decrittazione.
Una volta che Ztax completa il processo di crittografia, rilascia note di riscatto sul computer della vittima. Queste note appaiono sia in finestre pop-up che in file di testo denominati "manual.txt", che si trovano sul desktop e in tutte le cartelle crittografate. La nota di riscatto è relativamente breve e ordina alle vittime di inviare un'e-mail all'aggressore per ulteriori passaggi per recuperare i propri dati.
Ecco cosa dice la richiesta di riscatto:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Le richieste di riscatto e il processo di crittografia
Come molti altri, Ztax Ransomware richiede il pagamento in Bitcoin per la decrittazione dei file. Alle vittime viene detto che possono testare il processo di decrittazione inviando fino a tre file all'aggressore, offrendo una certa garanzia che il pagamento del riscatto potrebbe funzionare. Tuttavia, gli aggressori forniscono un avvertimento contro l'utilizzo di strumenti di terze parti o il tentativo di modificare i file crittografati, minacciando ulteriori danni ai dati.
Una caratteristica degna di nota di Ztax e di altre varianti del ransomware Dharma è che non crittografano i file di sistema critici, il che significa che il dispositivo rimane operativo anche dopo l'attacco. Ciò lo distingue da altri tipi di ransomware che possono rendere completamente inabile un sistema. Tuttavia, ciò non diminuisce l'impatto dell'attacco poiché la perdita dell'accesso a file personali o aziendali può essere devastante.
Come si diffonde e persiste il ransomware Ztax
Ztax Ransomware, come altre varianti di Dharma, spesso si diffonde tramite vulnerabilità nei servizi Remote Desktop Protocol (RDP). Gli aggressori usano comunemente metodi brute-force per ottenere l'accesso a sistemi scarsamente protetti. Una volta dentro, disabilitano i firewall e lanciano l'attacco ransomware. Anche il phishing e l'ingegneria sociale sono metodi comuni di infezione, con allegati o link dannosi nelle e-mail come meccanismo di distribuzione primario.
Dopo aver infettato un dispositivo, Ztax assicura la persistenza copiando se stesso in posizioni specifiche all'interno del sistema, come il percorso %LOCALAPPDATA%. Si registra anche con alcune chiavi Run, consentendogli di avviarsi automaticamente dopo ogni riavvio. Questa persistenza assicura che il ransomware continui a influenzare il sistema finché non viene rimosso.
Cosa vuole il ransomware Ztax
Come tutti i ransomware, l'obiettivo primario del ransomware Ztax è il guadagno finanziario. Richiede il pagamento in Bitcoin, una criptovaluta preferita dai criminali informatici per il suo relativo anonimato. Tuttavia, pagare il riscatto non garantisce il recupero del file. In molti casi, le vittime non ricevono mai le chiavi di decrittazione o il software, anche dopo aver ottemperato alle richieste degli aggressori.
La richiesta di riscatto di Ztax sottolinea i rischi del tentativo di recuperare file utilizzando strumenti di terze parti o chiedendo aiuto a servizi esterni. Questa è una tattica intimidatoria spesso usata per costringere le vittime a pagare, anche se il recupero è tutt'altro che certo.
Prevenzione e recupero dal ransomware Ztax
Una volta che Ztax Ransomware ha infettato un sistema e crittografato i file, rimuoverlo non ripristinerà i dati compromessi. L'unico modo affidabile per recuperare i file è usare backup creati prima dell'infezione e archiviati in una posizione sicura e disconnessa. Sfortunatamente, Ztax elimina anche Volume Shadow Copies, una funzionalità di backup automatizzata in alcuni sistemi, eliminando questo come potenziale metodo di recupero.
Per prevenire tali attacchi, utenti e organizzazioni dovrebbero mantenere solide pratiche di sicurezza. Ciò include il mantenimento di backup di dati importanti in più posizioni sicure, come server remoti e dispositivi di archiviazione esterni. Inoltre, una solida gestione delle credenziali e l'aggiornamento regolare del software di sicurezza possono aiutare a mitigare il rischio di cadere vittime del ransomware.
Lezioni dall'attacco ransomware Ztax
Ztax Ransomware è un altro promemoria dell'importanza di misure di sicurezza informatica proattive. La sua capacità di crittografare i file senza rendere inutilizzabile il sistema può far sembrare la cosa meno grave, ma il danno che causa può essere duraturo e finanziariamente paralizzante. La famiglia di ransomware Dharma continua a evolversi, sfruttando sistemi vulnerabili e utenti ignari.
Per tutti, la chiave per proteggersi da ransomware come Ztax è la vigilanza. Evitare download sospetti, implementare policy di password complesse e proteggere i servizi RDP può ridurre significativamente il rischio di un attacco. E, cosa più importante, avere backup aggiornati in atto assicura che anche se il ransomware colpisce, il recupero è possibile senza pagare nelle mani dei criminali informatici.
