Z1n Ransomware låser offersystemer

Under en rutineundersøkelse av nye filer, identifiserte våre forskere Z1n løsepengeprogramvare, som tilhører Dharma løsepengevarefamilien. Denne ondsinnede programvaren krypterer data og krever betaling for dekrypteringsnøkkelen.

I vårt testmiljø krypterte løsepengevaren filer og endret filnavnene deres. De opprinnelige navnene ble utvidet med en unik offer-ID, angripernes e-postadresse og en ".z1n"-utvidelse. For eksempel ble en fil opprinnelig kalt "1.jpg" transformert til "1.jpg.id-9ECFA84E.[zohodzin@tuta.io].z1n."

Etter denne krypteringsprosessen genererte Z1n løsepenger som ble vist i et popup-vindu og en tekstfil kalt «read.txt». Denne tekstfilen ble plassert på skrivebordet og i alle kataloger som inneholder krypterte filer. Innholdet i Z1n løsepengeprogramvarens tekstfil informerer offeret om datalåsen og oppfordrer dem til å kontakte angriperne for gjenoppretting.

Popup-meldingen gir ytterligere detaljer om ransomware-infeksjonen, og nevner eksplisitt kryptering av utilgjengelige filer. Selv om det ikke direkte sier at løsepenger må betales for dekryptering, er implikasjonen tilstede.

For å sikre gjenoppretting tilbyr meldingen en gratis dekrypteringstest for tre filer, som hver ikke overstiger 5 MB eller inneholder viktige data. Offeret advares også sterkt mot å søke bistand fra tredjeparter (mellomledd) og mot å gjøre endringer i de berørte filene.

Z1n løsepengenotat følger Dharmas ledetråd

Den lange teksten til den komplette Z1n løsepengenotatet går som følger:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Avvisning av transaksjonen og avslutning av kommunikasjon: Mellommenn kan nekte å samarbeide av personlige årsaker, noe som kan resultere i avslutning av kommunikasjon og gjøre det vanskelig å løse problemer.

Vi forstår at tap av data kan være et kritisk problem, og vi er stolte av å gi deg tjenester for kryptert datagjenoppretting. Vi streber etter å gi deg det høyeste nivået av tillit til våre evner og tilbyr følgende garantier:
-Gjenopprettingsdemo: Vi tilbyr muligheten til å dekryptere opptil tre filer på opptil 5 MB på demobasis.

Vær oppmerksom på at disse filene ikke skal inneholde viktige og kritiske data.

Demogjenoppretting er ment å demonstrere våre ferdigheter og evner.

-Garantert kvalitet: Vi lover at når vi foretar datagjenoppretting, vil vi jobbe med den største profesjonalitet og oppmerksomhet på detaljer for å sikre best mulig resultater.

Vi bruker avansert teknologi og teknikker for å maksimere sannsynligheten for en vellykket gjenoppretting.

-Transparent kommunikasjon: Teamet vårt er alltid tilgjengelig for å svare på spørsmålene dine og gi deg oppdatert informasjon om datagjenopprettingsprosessen.

Vi setter pris på din deltakelse og tilbakemelding.

Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.

Hvordan kan du proaktivt beskytte dataene dine mot løsepengeprogramvare?

Proaktiv beskyttelse av dataene dine mot løsepengevare innebærer implementering av en kombinasjon av forebyggende tiltak og beste praksis. Her er flere strategier for å beskytte dataene dine:

Vanlige sikkerhetskopier:
Sikkerhetskopier viktige data regelmessig til en ekstern stasjon eller en sikker skytjeneste.
Sørg for at sikkerhetskopiering er automatisert, hyppig og inkluderer alle kritiske filer.

Sikkerhetskopier uten nett:
Hold minst én kopi av sikkerhetskopien frakoblet for å forhindre at løsepengeprogramvare påvirker den.
Koble fra sikkerhetskopienheten når den ikke er i bruk for å minimere risikoen for kompromittering.

Oppdater programvare og systemer:
Oppdater operativsystemet, programvaren og applikasjonene regelmessig for å rette opp sårbarheter.
Aktiver automatiske oppdateringer når det er mulig for å holde deg beskyttet mot de siste truslene.

Bruk pålitelig sikkerhetsprogramvare:
Installer anerkjente antivirus- og anti-malware-programvare for å oppdage og blokkere løsepengeprogramvare.
Hold definisjoner av sikkerhetsprogramvare oppdatert for effektiv trusseldeteksjon.

Utdanne og trene brukere:
Lær ansatte eller brukere om phishing-e-poster, ondsinnede koblinger og andre sosiale manipulasjonstaktikker.
Gjennomfør regelmessige treningsøkter for å øke bevisstheten om beste praksis for nettsikkerhet.

Nettverkssegmentering:
Implementer nettverkssegmentering for å isolere kritiske systemer og data fra andre deler av nettverket.
Begrens brukertilgang til bare ressursene som er nødvendige for rollene deres.

E-postsikkerhet:
Bruk e-postfiltreringssystemer for å identifisere og blokkere phishing-e-poster og ondsinnede vedlegg.
Oppmuntre brukere til å granske e-poster før de klikker på lenker eller laster ned vedlegg.