Avanzi Ransomware oczekuje płatności w Bitcoinach

Podczas badania nowych próbek złośliwego oprogramowania zidentyfikowaliśmy wariant oprogramowania ransomware o nazwie Avanzi, powiązany z rodziną Dharma. Po pomyślnej infiltracji komputera Avanzi szyfruje pliki, modyfikuje nazwy plików, wyświetla żądanie okupu i generuje dodatkową notatkę w pliku „info.txt”.

Avanzi dodaje do nazw plików identyfikator ofiary, adres e-mail avanziahelp@cock.li i rozszerzenie „.avan”. Na przykład przekształca „1.jpg” w „1.jpg.id-9ECFA84E.[avanziahelp@cock.li].avan”, „2.png” w „2.png.id-9ECFA84E.[avanziahelp@cock .li].avan” i tak dalej.
Żądanie okupu wystawione przez ransomware Avanzi zaczyna się od deklaracji, że wszystkie pliki zostały zaszyfrowane, po której następuje zapewnienie, że odzyskanie danych jest możliwe. Ofiary proszone są o skontaktowanie się z napastnikami za pośrednictwem poczty elektronicznej (avanziahelp@cock.li) w ciągu 12 godzin i przesłania alternatywnego adresu e-mail (avanzirest@tuta.io) w przypadku opóźnionej odpowiedzi.

Notatka jest wyrazem dobrej woli i oferuje bezpłatne odszyfrowanie maksymalnie trzech plików, podkreślając szczególne warunki kwalifikowalności. Ponadto ofiary otrzymują wskazówki dotyczące zdobywania Bitcoinów, preferowanej formy płatności okupu, i ostrzegają przed pewnymi działaniami, takimi jak zmiana nazwy plików lub próby odszyfrowania przez osoby trzecie, aby zapobiec trwałej utracie danych lub padnięciu ofiarą oszustw.

Notatka o okupie Avanzi jest krótka

Pełny tekst pliku „info.txt” wygenerowanego przez Avanzi brzmi następująco:

all your data has been locked us

You want to return?

write email avanziahelp@cock.li or avanzirest@tuta.io

Dłuższy tekst w wyskakującym oknie również nigdy nie wspomina o dokładnej kwocie okupu, a jedynie o instrukcjach, jak zdobyć Bitcoin. Tekst w wyskakującym oknie wygląda następująco:

Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Bezpłatne odszyfrowanie jako gwarancja
Przed dokonaniem płatności możesz przesłać nam maksymalnie 3 pliki do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 3 MB (nie zarchiwizowane), a pliki nie powinny zawierać cennych informacji. (bazy danych, kopie zapasowe, duże arkusze Excel itp.)

Jak zdobyć Bitcoiny

Możesz także znaleźć inne miejsca do zakupu Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają one swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

Jak chronić swoje pliki przed oprogramowaniem ransomware podobnym do Avanzi?

Ochrona plików przed zagrożeniami typu ransomware, takimi jak Avanzi, wymaga wdrożenia kombinacji proaktywnych środków zapobiegających infekcjom i posiadania solidnego planu odzyskiwania na wypadek ataku. Oto kilka zaleceń:

Regularne kopie zapasowe:
Regularnie twórz kopie zapasowe ważnych plików na urządzeniu zewnętrznym lub w bezpiecznej usłudze w chmurze.
Upewnij się, że proces tworzenia kopii zapasowych jest zautomatyzowany i częsty, abyś zawsze miał aktualne kopie swoich danych.

Kopie zapasowe offline:
Przechowuj co najmniej jeden zestaw kopii zapasowych w trybie offline lub odłącz go od sieci, aby uniemożliwić oprogramowaniu ransomware dotarcie do nich i zaszyfrowanie ich.

Oprogramowanie zabezpieczające:
Używaj renomowanego oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, aby wykrywać i blokować zagrożenia oprogramowaniem ransomware.
Aktualizuj oprogramowanie zabezpieczające, system operacyjny i aplikacje, korzystając z najnowszych poprawek i aktualizacji.

Filtrowanie poczty e-mail i stron internetowych:
Wdrażaj rozwiązania do filtrowania wiadomości e-mail, aby identyfikować i blokować wiadomości phishingowe, które mogą zawierać oprogramowanie ransomware.
Użyj narzędzi do filtrowania sieci, aby zablokować dostęp do złośliwych witryn internetowych, które mogą rozpowszechniać oprogramowanie ransomware.

Biała lista aplikacji:
Użyj białej listy aplikacji, aby zezwolić na uruchamianie w systemie tylko zatwierdzonych programów, zapobiegając uruchamianiu nieautoryzowanych aplikacji, w tym oprogramowania ransomware.