Møt et annet tillegg til Dharma-familien: Ztax Ransomware
Ransomware-angrep har blitt en av de mest forstyrrende formene for nettkriminalitet, rettet mot enkeltpersoner og organisasjoner. Ztax Ransomware er en del av den beryktede Dharma ransomware-familien . Mens løsepengevare typisk tar sikte på å presse ofre ved å kryptere dataene deres, presenterer Ztax sine egne unike egenskaper som gjør det spesielt bekymringsfullt.
Table of Contents
Hva er Ztax Ransomware?
Ztax Ransomware er en datakrypterende trussel som låser ofrene ute av filene deres og krever betaling for løslatelsen. Denne løsepengevaren, som andre i Dharma-familien, legger til sin egen utvidelse til krypterte filer. Infiserte filer får nytt navn med en unik offer-ID, en angriperkontrollert e-postadresse og utvidelsen ".Ztax". For eksempel vil en fil som heter "photo.jpg" bli endret til "photo.jpg.id-12345.[taxz@cock.li].Ztax", noe som gjør den ubrukelig uten dekryptering.
Når Ztax fullfører krypteringsprosessen, slipper den løsepenger på offerets maskin. Disse notatene vises både i popup-vinduer og i tekstfiler kalt "manual.txt", som finnes på skrivebordet og i alle krypterte mapper. Løsepengene er relativt kort, og instruerer ofrene om å sende en e-post til angriperen for ytterligere trinn for å gjenopprette dataene deres.
Her er hva løsepengene sier:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Løsepengekravene og krypteringsprosessen
Som mange andre krever Ztax Ransomware betaling i Bitcoin for fildekryptering. Ofrene blir fortalt at de kan teste dekrypteringsprosessen ved å sende opptil tre filer til angriperen, noe som gir en viss forsikring om at betaling av løsepenger kan fungere. Angriperne gir imidlertid en advarsel mot å bruke tredjepartsverktøy eller forsøke å endre de krypterte filene, og truer med ytterligere skade på dataene.
Et bemerkelsesverdig kjennetegn ved Ztax og andre Dharma-ransomware-varianter er at de ikke krypterer kritiske systemfiler, noe som betyr at enheten forblir operativ selv etter angrepet. Dette skiller den fra noen andre løsepengevaretyper som kan sette et system fullstendig ut av funksjon. Dette reduserer imidlertid ikke virkningen av angrepet siden det kan være ødeleggende å miste tilgang til personlige eller forretningsrelaterte filer.
Hvordan Ztax Ransomware sprer seg og vedvarer
Ztax Ransomware, som andre Dharma-varianter, sprer seg ofte gjennom sårbarheter i Remote Desktop Protocol (RDP)-tjenester. Angripere bruker ofte brute-force-metoder for å få tilgang til dårlig sikrede systemer. Når de er inne, deaktiverer de brannmurer og starter løsepengevareangrepet. Phishing og sosial teknikk er også vanlige metoder for infeksjon, med ondsinnede vedlegg eller lenker i e-poster som en primær leveringsmekanisme.
Etter å ha infisert en enhet, sikrer Ztax utholdenhet ved å kopiere seg selv til bestemte steder i systemet, for eksempel %LOCALAPPDATA%-banen. Den registreres også med visse Run-nøkler, slik at den starter automatisk etter hver omstart. Denne utholdenheten sikrer at løsepengevaren fortsetter å påvirke systemet til den fjernes.
Hva Ztax Ransomware vil ha
Som all løsepengevare, er Ztax løsepengevare sitt primære mål økonomisk gevinst. Den krever betaling i Bitcoin, en kryptovaluta foretrukket av nettkriminelle på grunn av dens relative anonymitet. Å betale løsepengene garanterer imidlertid ikke filgjenoppretting. I mange tilfeller mottar ofre aldri dekrypteringsnøklene eller programvaren, selv etter å ha overholdt angripernes krav.
Ztaxs løsepengenota understreker risikoen ved å forsøke å gjenopprette filer ved å bruke tredjepartsverktøy eller be om hjelp fra eksterne tjenester. Dette er en skremmetaktikk som ofte brukes for å tvinge ofre til å betale, selv om bedring er langt fra sikker.
Forebygging og gjenoppretting fra Ztax Ransomware
Når Ztax Ransomware har infisert et system og kryptert filer, vil ikke fjerning av det gjenopprette de kompromitterte dataene. Den eneste pålitelige måten å gjenopprette filer på er å bruke sikkerhetskopier som ble opprettet før infeksjonen og lagret på et trygt, frakoblet sted. Dessverre sletter Ztax også Volume Shadow Copies - en automatisert sikkerhetskopifunksjon i noen systemer - og eliminerer dette som en potensiell gjenopprettingsmetode.
For å forhindre slike angrep, bør brukere og organisasjoner opprettholde sterk sikkerhetspraksis. Dette inkluderer å holde sikkerhetskopier av viktige data på flere sikre steder, for eksempel eksterne servere og eksterne lagringsenheter. I tillegg kan robust legitimasjonsadministrasjon og regelmessig oppdatering av sikkerhetsprogramvare bidra til å redusere risikoen for å bli offer for løsepengeprogramvare.
Leksjoner fra Ztax Ransomware-angrepet
Ztax Ransomware er en annen påminnelse om viktigheten av proaktive cybersikkerhetstiltak. Dens evne til å kryptere filer uten å gjøre systemet ubrukelig kan få det til å virke mindre alvorlig, men skaden det forårsaker kan være langvarig og økonomisk lammende. Dharma-familien av løsepengevare fortsetter å utvikle seg, utnytter sårbare systemer og intetanende brukere.
For alle er nøkkelen til å beskytte mot løsepengevare som Ztax årvåkenhet. Å unngå mistenkelige nedlastinger, implementere sterke passordpolicyer og sikre RDP-tjenester kan redusere risikoen for et angrep betydelig. Og viktigst av alt, å ha oppdaterte sikkerhetskopier på plass sikrer at selv om løsepengevare rammer, er gjenoppretting mulig uten å betale i hendene på nettkriminelle.
