Maak kennis met een nieuwe toevoeging aan de Dharma-familie: Ztax Ransomware

Ransomware-aanvallen zijn een van de meest ontwrichtende vormen van cybercriminaliteit geworden, gericht op zowel individuen als organisaties. Ztax Ransomware is onderdeel van de beruchte Dharma ransomware-familie . Terwijl ransomware doorgaans slachtoffers probeert af te persen door hun gegevens te versleutelen, heeft Ztax zijn eigen unieke eigenschappen die het bijzonder zorgwekkend maken.

Wat is Ztax Ransomware?

Ztax Ransomware is een data-encrypterende bedreiging die slachtoffers uitsluit van hun bestanden en betaling eist voor hun vrijlating. Deze ransomware, net als andere in de Dharma-familie, voegt zijn eigen extensie toe aan versleutelde bestanden. Geïnfecteerde bestanden worden hernoemd met een unieke slachtoffer-ID, een door de aanvaller gecontroleerd e-mailadres en de extensie ".Ztax". Bijvoorbeeld, een bestand met de naam "photo.jpg" zou worden gewijzigd in "photo.jpg.id-12345.[taxz@cock.li].Ztax," waardoor het onbruikbaar wordt zonder decodering.

Zodra Ztax het encryptieproces heeft voltooid, plaatst het losgeldnotities op de machine van het slachtoffer. Deze notities verschijnen zowel in pop-upvensters als in tekstbestanden met de naam "manual.txt", die op het bureaublad en in alle versleutelde mappen te vinden zijn. De losgeldnotitie is relatief kort en instrueert slachtoffers om de aanvaller te e-mailen voor verdere stappen om hun gegevens te herstellen.

Dit staat er in de losgeldbrief:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

De losgeldeisen en het encryptieproces

Net als veel anderen eist Ztax Ransomware betaling in Bitcoin voor het decoderen van bestanden. Slachtoffers wordt verteld dat ze het decoderingsproces kunnen testen door maximaal drie bestanden naar de aanvaller te sturen, wat enige zekerheid biedt dat het betalen van het losgeld zou kunnen werken. De aanvallers waarschuwen echter tegen het gebruik van tools van derden of het proberen te wijzigen van de gecodeerde bestanden, wat verdere schade aan de gegevens dreigt.

Een opvallend kenmerk van Ztax en andere Dharma-ransomwarevarianten is dat ze geen kritieke systeembestanden versleutelen, wat betekent dat het apparaat zelfs na de aanval operationeel blijft. Dit onderscheidt het van andere ransomwaretypen die een systeem volledig kunnen uitschakelen. Dit vermindert echter niet de impact van de aanval, aangezien het verlies van toegang tot persoonlijke of zakelijke bestanden verwoestend kan zijn.

Hoe Ztax Ransomware zich verspreidt en blijft bestaan

Ztax Ransomware verspreidt zich, net als andere Dharma-varianten, vaak via kwetsbaarheden in Remote Desktop Protocol (RDP)-services. Aanvallers gebruiken vaak brute-force-methoden om toegang te krijgen tot slecht beveiligde systemen. Eenmaal binnen schakelen ze firewalls uit en starten ze de ransomware-aanval. Phishing en social engineering zijn ook veelvoorkomende infectiemethoden, waarbij kwaadaardige bijlagen of links in e-mails een primair aflevermechanisme zijn.

Na het infecteren van een apparaat zorgt Ztax voor persistentie door zichzelf te kopiëren naar specifieke locaties binnen het systeem, zoals het pad %LOCALAPPDATA%. Het registreert zich ook met bepaalde Run-sleutels, waardoor het automatisch kan starten na elke herstart. Deze persistentie zorgt ervoor dat de ransomware het systeem blijft beïnvloeden totdat het wordt verwijderd.

Wat Ztax Ransomware wil

Zoals alle ransomware is het primaire doel van Ztax ransomware financieel gewin. Het eist betaling in Bitcoin, een cryptocurrency die door cybercriminelen geliefd is vanwege de relatieve anonimiteit. Het betalen van het losgeld garandeert echter geen herstel van bestanden. In veel gevallen ontvangen slachtoffers nooit de decryptiesleutels of software, zelfs niet nadat ze aan de eisen van de aanvallers hebben voldaan.

De losgeldnota van Ztax benadrukt de risico's van het proberen bestanden te herstellen met behulp van tools van derden of het vragen om hulp van externe services. Dit is een angsttactiek die vaak wordt gebruikt om slachtoffers te dwingen te betalen, ook al is herstel verre van zeker.

Preventie en herstel van Ztax Ransomware

Zodra Ztax Ransomware een systeem heeft geïnfecteerd en bestanden heeft gecodeerd, zal het verwijderen ervan de gecompromitteerde gegevens niet herstellen. De enige betrouwbare manier om bestanden te herstellen is door back-ups te gebruiken die zijn gemaakt vóór de infectie en opgeslagen op een veilige, losgekoppelde locatie. Helaas verwijdert Ztax ook Volume Shadow Copies, een geautomatiseerde back-upfunctie in sommige systemen, waardoor dit niet langer een mogelijke herstelmethode is.

Om dergelijke aanvallen te voorkomen, moeten gebruikers en organisaties sterke beveiligingspraktijken handhaven. Dit omvat het bewaren van back-ups van belangrijke gegevens op meerdere veilige locaties, zoals externe servers en externe opslagapparaten. Bovendien kunnen robuust beheer van inloggegevens en het regelmatig updaten van beveiligingssoftware helpen het risico te verkleinen dat u slachtoffer wordt van ransomware.

Lessen uit de Ztax Ransomware-aanval

Ztax Ransomware is een andere herinnering aan het belang van proactieve cybersecuritymaatregelen. Het vermogen om bestanden te versleutelen zonder het systeem onbruikbaar te maken, lijkt misschien minder ernstig, maar de schade die het veroorzaakt, kan langdurig en financieel verlammend zijn. De Dharma-familie van ransomware blijft evolueren en misbruikt kwetsbare systemen en nietsvermoedende gebruikers.

Voor iedereen is waakzaamheid de sleutel tot bescherming tegen ransomware zoals Ztax. Het vermijden van verdachte downloads, het implementeren van sterke wachtwoordbeleidsregels en het beveiligen van RDP-services kan het risico op een aanval aanzienlijk verminderen. En het allerbelangrijkste: het hebben van up-to-date back-ups zorgt ervoor dat zelfs als ransomware toeslaat, herstel mogelijk is zonder in de handen van cybercriminelen te betalen.

Tegen Willa
October 22, 2024
Ransomware
Nederlands
October 22, 2024
Ransomware

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.