Susipažinkite su kitu „Dharma“ šeimos papildymu: „Ztax Ransomware“.
Išpirkos reikalaujančios programinės įrangos atakos tapo viena iš labiausiai pavojingų elektroninių nusikaltimų formų, nukreiptų tiek į asmenis, tiek į organizacijas. Ztax Ransomware yra žinomos Dharma ransomware šeimos dalis. Nors „ransomware“ paprastai siekia išvilioti aukas šifruodama jų duomenis, „Ztax“ pristato savo unikalius bruožus, dėl kurių jis ypač susirūpinęs.
Table of Contents
Kas yra Ztax Ransomware?
„Ztax Ransomware“ yra duomenų šifravimo grėsmė, kuri neleidžia aukoms patekti į failus ir reikalauja sumokėti už jų išleidimą. Ši išpirkos reikalaujanti programa, kaip ir kiti Dharma šeimos nariai, prideda savo plėtinį prie užšifruotų failų. Užkrėsti failai pervadinami naudojant unikalų aukos ID, užpuoliko valdomą el. pašto adresą ir plėtinį „.Ztax“. Pavyzdžiui, failas pavadinimu „photo.jpg“ būtų pakeistas į „photo.jpg.id-12345.[taxz@cock.li].Ztax“, todėl jo negalima naudoti be iššifravimo.
Kai Ztax baigia šifravimo procesą, jis numeta išpirkos raštelius į aukos mašiną. Šios pastabos rodomos ir iššokančiuose languose, ir tekstiniuose failuose pavadinimu „manual.txt“, kurie yra darbalaukyje ir visuose šifruotuose aplankuose. Laiškas dėl išpirkos yra gana trumpas, nurodant aukoms el. paštą išsiųsti užpuolikui, kad jis pateiktų tolesnius veiksmus, kad būtų galima atkurti savo duomenis.
Štai kas sakoma išpirkos raštelyje:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Išpirkos reikalavimai ir šifravimo procesas
Kaip ir daugelis kitų, „Ztax Ransomware“ reikalauja sumokėti Bitcoin už failo iššifravimą. Aukoms sakoma, kad jos gali išbandyti iššifravimo procesą nusiųsdamos užpuolikui iki trijų failų, taip užtikrindamos, kad išpirkos sumokėjimas gali būti sėkmingas. Tačiau užpuolikai įspėja nesinaudoti trečiųjų šalių įrankiais ar bandyti modifikuoti užšifruotus failus, o tai kelia grėsmę tolesniam duomenų sugadinimui.
Viena pastebimų „Ztax“ ir kitų „Dharma“ išpirkos reikalaujančių programų variantų savybių yra ta, kad jie neužšifruoja svarbių sistemos failų, o tai reiškia, kad įrenginys veikia net ir po atakos. Tai išskiria jį iš kai kurių kitų išpirkos reikalaujančių programų tipų, kurie gali visiškai sugadinti sistemą. Tačiau tai nesumažina atakos poveikio, nes prieigos prie asmeninių ar su verslu susijusių failų praradimas gali būti pražūtingas.
Kaip „Ztax Ransomware“ plinta ir išlieka
„Ztax Ransomware“, kaip ir kiti „Dharma“ variantai, dažnai plinta per nuotolinio darbalaukio protokolo (RDP) paslaugų spragas. Užpuolikai dažniausiai naudoja brutalios jėgos metodus, kad gautų prieigą prie prastai apsaugotų sistemų. Patekę į vidų, jie išjungia ugniasienes ir pradeda išpirkos reikalaujančių programų ataką. Sukčiavimas ir socialinė inžinerija taip pat yra įprasti infekcijos būdai, o kenkėjiški priedai arba nuorodos el. laiškuose yra pagrindinis pristatymo mechanizmas.
Užkrėtus įrenginį, Ztax užtikrina patvarumą, nukopijuodama save į konkrečias sistemos vietas, pvz., %LOCALAPPDATA% kelią. Jis taip pat registruojamas naudojant tam tikrus „Run“ klavišus, leidžiančius automatiškai paleisti po kiekvieno perkrovimo. Šis atkaklumas užtikrina, kad išpirkos reikalaujanti programa ir toliau paveiktų sistemą, kol ji bus pašalinta.
Ko nori Ztax Ransomware
Kaip ir visų išpirkos reikalaujančių programų, „Ztax“ išpirkos programų pagrindinis tikslas yra finansinė nauda. Ji reikalauja mokėti Bitcoin, kriptovaliuta, kurią dėl santykinio anonimiškumo mėgsta kibernetiniai nusikaltėliai. Tačiau išpirkos sumokėjimas negarantuoja failo atkūrimo. Daugeliu atvejų aukos niekada negauna iššifravimo raktų ar programinės įrangos, net ir įvykdusios užpuoliko reikalavimus.
„Ztax“ išpirkos rašte pabrėžiama rizika, kylanti bandant atkurti failus naudojant trečiųjų šalių įrankius arba prašyti pagalbos iš išorinių tarnybų. Tai yra gąsdinimo taktika, dažnai naudojama siekiant priversti aukas susimokėti, nors pasveikimas toli gražu nėra tikras.
Prevencija ir atkūrimas nuo Ztax Ransomware
Kai „Ztax Ransomware“ užkrėtė sistemą ir užšifravo failus, jį pašalinus pažeisti duomenys nebus atkurti. Vienintelis patikimas būdas atkurti failus yra naudoti atsargines kopijas, kurios buvo sukurtos prieš užkrėtimą ir saugomos saugioje, atjungtoje vietoje. Deja, „Ztax“ taip pat ištrina „Volume Shadow Copies“ – automatinės atsarginės kopijos funkciją kai kuriose sistemose – pašalindama tai kaip galimą atkūrimo metodą.
Norėdami užkirsti kelią tokioms atakoms, vartotojai ir organizacijos turėtų laikytis griežtos saugos praktikos. Tai apima svarbių duomenų atsarginių kopijų kūrimą keliose saugiose vietose, pvz., nuotoliniuose serveriuose ir išoriniuose saugojimo įrenginiuose. Be to, patikimas kredencialų valdymas ir reguliarus saugos programinės įrangos atnaujinimas gali padėti sumažinti riziką tapti išpirkos reikalaujančios programinės įrangos auka.
„Ztax Ransomware Attack“ pamokos
„Ztax Ransomware“ yra dar vienas priminimas apie aktyvių kibernetinio saugumo priemonių svarbą. Dėl galimybės užšifruoti failus nepadarydami sistemos neveiksni ji gali atrodyti ne tokia rimta, tačiau jos daroma žala gali būti ilgalaikė ir žalinga finansiškai. Išpirkos reikalaujančių programų „Dharma“ šeima toliau vystosi, išnaudodama pažeidžiamas sistemas ir nieko neįtariančius vartotojus.
Visiems svarbiausia apsisaugoti nuo išpirkos reikalaujančių programų, tokių kaip Ztax, yra budrumas. Įtartinų atsisiuntimų išvengimas, griežtos slaptažodžių politikos įgyvendinimas ir KPP paslaugų apsauga gali žymiai sumažinti atakos riziką. Ir svarbiausia, turint naujausias atsargines kopijas, užtikrinama, kad net ir užpuolus išpirkos reikalaujančią programinę įrangą, atkūrimas būtų įmanomas nemokant kibernetiniams nusikaltėliams.
