Z1n Ransomware blokuje systemy ofiar

Podczas rutynowego badania nowych plików nasi badacze zidentyfikowali oprogramowanie ransomware Z1n, które należy do rodziny ransomware Dharma. To złośliwe oprogramowanie szyfruje dane i żąda zapłaty za klucz deszyfrujący.

W naszym środowisku testowym oprogramowanie ransomware szyfrowało pliki i modyfikowało ich nazwy. Oryginalne nazwy zostały rozszerzone o unikalny identyfikator ofiary, adres e-mail atakującego i rozszerzenie „.z1n”. Na przykład plik o początkowej nazwie „1.jpg” został przekształcony w „1.jpg.id-9ECFA84E.[zohodzin@tuta.io].z1n”.

Po procesie szyfrowania Z1n wygenerował żądanie okupu wyświetlane w wyskakującym oknie oraz plik tekstowy o nazwie „read.txt”. Ten plik tekstowy został umieszczony na pulpicie oraz we wszystkich katalogach zawierających zaszyfrowane pliki. Zawartość pliku tekstowego ransomware Z1n informuje ofiarę o blokadzie danych i zachęca ją do skontaktowania się z atakującymi w celu odzyskania danych.

Wyskakujący komunikat zawiera dodatkowe szczegóły dotyczące infekcji ransomware, wyraźnie wspominając o szyfrowaniu niedostępnych plików. Chociaż nie stwierdza się bezpośrednio, że za odszyfrowanie należy zapłacić okup, sugestia jest obecna.

Aby zapewnić odzyskanie wiadomości, wiadomość oferuje bezpłatny test deszyfrowania trzech plików, każdy o rozmiarze nieprzekraczającym 5 MB lub zawierającym ważne dane. Ofiara jest również stanowczo przestrzegana przed zwracaniem się o pomoc do osób trzecich (pośredników) i przed wprowadzaniem modyfikacji w plikach, których dotyczy problem.

List z żądaniem okupu Z1n podąża śladem Dharmy

Długi tekst pełnej noty o okupie Z1n wygląda następująco:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Odrzucenie transakcji i zakończenie komunikacji: Pośrednicy mogą odmówić współpracy z powodów osobistych, co może skutkować zakończeniem komunikacji i utrudnieniem rozwiązania problemów.

Rozumiemy, że utrata danych może być problemem krytycznym i z dumą oferujemy usługi odzyskiwania zaszyfrowanych danych. Staramy się zapewnić Państwu najwyższy poziom zaufania do naszych możliwości i oferujemy następujące gwarancje:
-Demonstracja odzyskiwania: Oferujemy możliwość odszyfrowania do trzech plików o rozmiarze do 5 MB w ramach wersji demonstracyjnej.

Należy pamiętać, że pliki te nie powinny zawierać ważnych i krytycznych danych.

Odzyskiwanie wersji demo ma na celu zademonstrowanie naszych umiejętności i możliwości.

-Gwarantowana jakość: Obiecujemy, że podejmując się odzyskiwania danych, będziemy działać z najwyższym profesjonalizmem i dbałością o szczegóły, aby zapewnić najlepsze możliwe wyniki.

Korzystamy z zaawansowanych technologii i technik, aby zmaksymalizować prawdopodobieństwo pomyślnego wyzdrowienia.

-Przejrzysta komunikacja: Nasz zespół jest zawsze dostępny, aby odpowiedzieć na Twoje pytania i udzielić aktualnych informacji na temat procesu odzyskiwania danych.

Jesteśmy wdzięczni za Twój udział i opinie.

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają one swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

Jak możesz proaktywnie chronić swoje dane przed oprogramowaniem ransomware?

Proaktywna ochrona danych przed oprogramowaniem ransomware wymaga wdrożenia kombinacji środków zapobiegawczych i najlepszych praktyk. Oto kilka strategii pomagających chronić Twoje dane:

Regularne kopie zapasowe:
Regularnie twórz kopie zapasowe ważnych danych na dysku zewnętrznym lub w bezpiecznej usłudze w chmurze.
Upewnij się, że kopie zapasowe są zautomatyzowane, częste i obejmują wszystkie krytyczne pliki.

Kopie zapasowe offline:
Przechowuj co najmniej jedną kopię kopii zapasowej w trybie offline, aby zapobiec wpływowi oprogramowania ransomware.
Odłącz urządzenie zapasowe, gdy nie jest używane, aby zminimalizować ryzyko naruszenia bezpieczeństwa.

Zaktualizuj oprogramowanie i systemy:
Regularnie aktualizuj swój system operacyjny, oprogramowanie i aplikacje, aby łatać luki.
Włącz automatyczne aktualizacje, jeśli to możliwe, aby zachować ochronę przed najnowszymi zagrożeniami.

Użyj niezawodnego oprogramowania zabezpieczającego:
Zainstaluj renomowane oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem, aby wykrywać i blokować oprogramowanie ransomware.
Aktualizuj definicje oprogramowania zabezpieczającego, aby skutecznie wykrywać zagrożenia.

Edukuj i szkolić użytkowników:
Edukuj pracowników lub użytkowników na temat wiadomości e-mail phishingowych, złośliwych linków i innych taktyk socjotechniki.
Prowadzić regularne sesje szkoleniowe w celu zwiększenia świadomości na temat najlepszych praktyk w zakresie cyberbezpieczeństwa.

Segmentacja sieci:
Wdrożenie segmentacji sieci w celu odizolowania krytycznych systemów i danych od innych części sieci.
Ogranicz dostęp użytkowników tylko do zasobów niezbędnych do ich ról.

Bezpieczeństwo poczty e-mail:
Korzystaj z systemów filtrowania poczty e-mail, aby identyfikować i blokować wiadomości e-mail typu phishing i złośliwe załączniki.
Zachęcaj użytkowników do sprawdzania wiadomości e-mail przed kliknięciem łącza lub pobraniem załączników.