Poznajcie kolejnego członka rodziny Dharma: Ztax Ransomware
Ataki ransomware stały się jedną z najbardziej destrukcyjnych form cyberprzestępczości, wymierzoną zarówno w osoby prywatne, jak i organizacje. Ztax Ransomware jest częścią niesławnej rodziny ransomware Dharma . Podczas gdy ransomware zazwyczaj ma na celu wyłudzenie pieniędzy od ofiar poprzez szyfrowanie ich danych, Ztax prezentuje własne unikalne cechy, które sprawiają, że jest szczególnie niepokojący.
Table of Contents
Czym jest Ztax Ransomware?
Ztax Ransomware to zagrożenie szyfrujące dane, które blokuje ofiarom dostęp do plików i żąda zapłaty za ich uwolnienie. Ten ransomware, podobnie jak inne w rodzinie Dharma, dodaje własne rozszerzenie do zaszyfrowanych plików. Zainfekowane pliki są zmieniane na nazwy z unikalnym identyfikatorem ofiary, adresem e-mail kontrolowanym przez atakującego i rozszerzeniem „.Ztax”. Na przykład plik o nazwie „photo.jpg” zostałby zmieniony na „photo.jpg.id-12345.[taxz@cock.li].Ztax”, co uczyniłoby go bezużytecznym bez odszyfrowania.
Gdy Ztax zakończy proces szyfrowania, upuszcza notatki z żądaniem okupu na komputer ofiary. Notatki te pojawiają się zarówno w oknach pop-up, jak i w plikach tekstowych o nazwie „manual.txt”, które znajdują się na pulpicie i we wszystkich zaszyfrowanych folderach. Notatka z żądaniem okupu jest stosunkowo krótka, instruuje ofiary, aby wysłały e-mail do atakującego, aby uzyskać dalsze kroki w celu odzyskania danych.
Oto treść listu z żądaniem okupu:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Żądania okupu i proces szyfrowania
Podobnie jak wielu innych, Ztax Ransomware żąda zapłaty w Bitcoinach za odszyfrowanie pliku. Ofiarom mówi się, że mogą przetestować proces odszyfrowania, wysyłając do trzech plików atakującemu, co daje pewność, że zapłacenie okupu może zadziałać. Jednak atakujący ostrzegają przed korzystaniem z narzędzi innych firm lub próbami modyfikowania zaszyfrowanych plików, grożąc dalszym uszkodzeniem danych.
Jedną z godnych uwagi cech Ztax i innych wariantów ransomware Dharma jest to, że nie szyfrują one krytycznych plików systemowych, co oznacza, że urządzenie pozostaje sprawne nawet po ataku. To odróżnia je od innych typów ransomware, które mogą całkowicie unieruchomić system. Nie umniejsza to jednak wpływu ataku, ponieważ utrata dostępu do plików osobistych lub biznesowych może być druzgocąca.
Jak rozprzestrzenia się i utrzymuje Ztax Ransomware
Ztax Ransomware, podobnie jak inne warianty Dharma, często rozprzestrzenia się poprzez luki w zabezpieczeniach usług Remote Desktop Protocol (RDP). Atakujący często stosują metody siłowe, aby uzyskać dostęp do słabo zabezpieczonych systemów. Po dostaniu się do środka wyłączają zapory i uruchamiają atak ransomware. Phishing i socjotechnika to również powszechne metody infekcji, przy czym złośliwe załączniki lub linki w wiadomościach e-mail są głównym mechanizmem dostarczania.
Po zainfekowaniu urządzenia Ztax zapewnia trwałość poprzez kopiowanie się do określonych lokalizacji w systemie, takich jak ścieżka %LOCALAPPDATA%. Rejestruje się również za pomocą pewnych kluczy Run, umożliwiając automatyczne uruchamianie po każdym ponownym uruchomieniu. Ta trwałość zapewnia, że ransomware nadal będzie wpływać na system, dopóki nie zostanie usunięty.
Czego chce Ztax Ransomware
Podobnie jak wszystkie ransomware, głównym celem ransomware Ztax jest zysk finansowy. Żąda zapłaty w Bitcoinach, kryptowalucie preferowanej przez cyberprzestępców ze względu na jej względną anonimowość. Jednak zapłacenie okupu nie gwarantuje odzyskania plików. W wielu przypadkach ofiary nigdy nie otrzymują kluczy deszyfrujących ani oprogramowania, nawet po spełnieniu żądań atakujących.
W liście okupowym Ztax podkreślono ryzyko próby odzyskania plików przy użyciu narzędzi innych firm lub proszenia o pomoc zewnętrznych usług. Jest to taktyka straszenia często stosowana w celu zmuszenia ofiar do zapłaty, mimo że odzyskanie jest dalekie od pewności.
Zapobieganie i odzyskiwanie po ataku ransomware Ztax
Gdy Ztax Ransomware zainfekował system i zaszyfrował pliki, usunięcie go nie przywróci zagrożonych danych. Jedynym niezawodnym sposobem na odzyskanie plików jest użycie kopii zapasowych utworzonych przed infekcją i przechowywanych w bezpiecznej, odłączonej lokalizacji. Niestety, Ztax usuwa również Volume Shadow Copies — automatyczną funkcję tworzenia kopii zapasowych w niektórych systemach — eliminując ją jako potencjalną metodę odzyskiwania.
Aby zapobiec takim atakom, użytkownicy i organizacje powinni stosować silne praktyki bezpieczeństwa. Obejmuje to przechowywanie kopii zapasowych ważnych danych w wielu bezpiecznych lokalizacjach, takich jak zdalne serwery i zewnętrzne urządzenia pamięci masowej. Ponadto solidne zarządzanie poświadczeniami i regularne aktualizowanie oprogramowania zabezpieczającego może pomóc zmniejszyć ryzyko stania się ofiarą oprogramowania ransomware.
Lekcje z ataku ransomware Ztax
Ztax Ransomware to kolejne przypomnienie o znaczeniu proaktywnych środków cyberbezpieczeństwa. Jego zdolność do szyfrowania plików bez wyłączania systemu z użytku może sprawiać, że wydaje się mniej poważny, ale szkody, które powoduje, mogą być długotrwałe i paraliżujące finansowo. Rodzina ransomware Dharma nadal ewoluuje, wykorzystując podatne systemy i niczego niepodejrzewających użytkowników.
Dla każdego kluczem do ochrony przed ransomware, takim jak Ztax, jest czujność. Unikanie podejrzanych pobrań, wdrażanie silnych zasad dotyczących haseł i zabezpieczanie usług RDP może znacznie zmniejszyć ryzyko ataku. A co najważniejsze, posiadanie aktualnych kopii zapasowych zapewnia, że nawet jeśli zaatakuje ransomware, odzyskanie danych będzie możliwe bez oddawania się w ręce cyberprzestępców.
