Co to jest oprogramowanie ransomware ZILLA (Dharma)?
ZILLA to odmiana oprogramowania ransomware należąca do okrytej złą sławą rodziny Dharma. Po zainfekowaniu systemu ZILLA szyfruje pliki, zmienia ich nazwy i pozostawia notatki z żądaniem okupu w wyskakującym okienku oraz w pliku tekstowym o nazwie „ZILLA-INFO.txt”.
Table of Contents
Jak ZILLA zmienia nazwy plików
Ransomware zmienia nazwy plików, dodając identyfikator ofiary, adres e-mail filezilla@cock.li i rozszerzenie „.ZILLA”. Na przykład „1.jpg” zmieni się na „1.jpg.id-9ECFA84E.[filezilla@cock.li].ZILLA”, a „2.png” zmieni się na „2.png.id-9ECFA84E.[filezilla@cock .li].ZILLA.”
Przegląd żądania okupu ZILLA
Instrukcje w nocie okupu
Notatka z żądaniem okupu kieruje ofiary na adres e-mail filezilla@cock.li, podając w wiadomości ich identyfikator. W przypadku braku odpowiedzi w ciągu 12 godzin wysyłany jest alternatywny adres e-mail (filezilla@cyberfear.com). Ofiary mają możliwość odszyfrowania maksymalnie trzech plików (poniżej 3 MB każdy) za darmo przed dokonaniem płatności.
Notatka o okupie ZILLA brzmi następująco:
ZILLA
Don't worry, you can return all your files!
If you want to restore them, write to the mail: filezilla@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:filezilla@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ostrzeżenia i zalecenia
Notatka ostrzega przed zmianą nazwy zaszyfrowanych plików lub korzystaniem z narzędzi deszyfrujących innych firm, ostrzegając, że takie działania mogą prowadzić do trwałej utraty danych lub dodatkowych kosztów.
Więcej szczegółów na temat oprogramowania ransomware
Problemy z zaufaniem u cyberprzestępców
Tylko cyberprzestępcy stojący za atakami ransomware zazwyczaj posiadają narzędzia deszyfrujące niezbędne do odzyskania plików. Często jednak nie udostępniają tych narzędzi nawet po dokonaniu płatności. Dlatego zdecydowanie odradza się płacenie okupu, aby uniknąć utraty danych i pieniędzy.
Możliwość odzyskania bez płacenia
Ofiary mogą odzyskać pliki bez płacenia okupu, jeśli mają kopie zapasowe lub mogą zlokalizować narzędzia deszyfrujące innych firm. Istotne jest również usunięcie oprogramowania ransomware, aby zapobiec dalszemu szyfrowaniu i rozprzestrzenianiu się złośliwego oprogramowania w sieci lokalnej.
Charakterystyka oprogramowania ransomware Dharma Family
Wpływ i trwałość systemu
Ransomware Dharma szyfruje pliki lokalne i udostępniane w sieci, wyłącza zapory ogniowe i usuwa kopie woluminów w tle. Zapewnia trwałość, kopiując się do ścieżki „%LOCALAPPDATA%” i rejestrując się przy użyciu określonych kluczy Uruchom. Dodatkowo gromadzi dane o lokalizacji i może wykluczyć niektóre z góry określone lokalizacje.
Ogólnie o oprogramowaniu ransomware
Definicja i funkcja oprogramowania ransomware
Ransomware to rodzaj złośliwego oprogramowania wykorzystywanego przez cyberprzestępców do żądania zapłaty w zamian za narzędzia odszyfrowujące. Ofiary nie mogą uzyskać dostępu do swoich plików bez płacenia, chyba że mają kopie zapasowe lub narzędzia odszyfrowujące innych firm. W celu ochrony przed atakami ransomware zaleca się przechowywanie ważnych plików na zdalnym serwerze lub urządzeniu pamięci masowej offline.
Przykłady wariantów oprogramowania ransomware
Inne przykłady wariantów ransomware to LostInfo, GameCrypt i RADAR.
W jaki sposób oprogramowanie ransomware zainfekowało mój komputer?
Metody infekcji
Przestępcy wykorzystują różne metody, aby nakłonić użytkowników do zainfekowania ich komputerów. Metody te obejmują ukrywanie oprogramowania ransomware w pirackim oprogramowaniu, narzędziach do łamania zabezpieczeń i generatorach kluczy, wysyłanie fałszywych wiadomości e-mail ze złośliwymi załącznikami lub łączami, wykorzystywanie luk w zabezpieczeniach nieaktualnego oprogramowania lub systemów operacyjnych oraz tworzenie złośliwych reklam.
Dodatkowe kanały infekcji
Cyberprzestępcy korzystają również z sieci P2P, zewnętrznych programów do pobierania, zainfekowanych lub zwodniczych witryn internetowych, oszustw związanych z pomocą techniczną, witryn z bezpłatnym hostingiem plików i podobnych kanałów, aby nakłonić użytkowników do pobrania i uruchomienia złośliwego oprogramowania. Oprogramowanie ransomware z rodziny Dharma często infekuje systemy poprzez podatne na ataki usługi RDP, wykorzystując brutalną siłę lub ataki słownikowe na źle zarządzane dane uwierzytelniające.
Jak chronić się przed infekcjami ransomware
Środki zapobiegawcze
Aby uniknąć infekcji ransomware, zachowaj ostrożność w przypadku plików i łączy w nieoczekiwanych wiadomościach e-mail od nieznanych nadawców. Unikaj interakcji z reklamami, wyskakującymi okienkami, przyciskami, linkami i inną zawartością podejrzanych witryn. Unikaj pobierania pirackiego oprogramowania lub narzędzi mających na celu ominięcie aktywacji i zawsze pozyskuj oprogramowanie i pliki z oficjalnych witryn internetowych i renomowanych sklepów z aplikacjami.
Konserwacja i ochrona systemu
Regularnie skanuj swój system pod kątem zagrożeń za pomocą niezawodnego narzędzia bezpieczeństwa i aktualizuj system operacyjny i całe oprogramowanie. Jeśli Twój komputer jest już zainfekowany ZILLA, uruchom skanowanie za pomocą aplikacji chroniącej przed złośliwym oprogramowaniem, aby automatycznie wyeliminować oprogramowanie ransomware.
