Z1n Ransomware bloqueia sistemas de vítimas

Durante um exame de rotina de novos arquivos, nossos pesquisadores identificaram o ransomware Z1n, que pertence à família de ransomware Dharma. Este software malicioso encripta dados e exige pagamento pela chave de desencriptação.

Em nosso ambiente de testes, o ransomware criptografou arquivos e modificou seus nomes de arquivos. Os nomes originais foram estendidos com um ID de vítima exclusivo, o endereço de e-mail dos invasores e uma extensão “.z1n”. Por exemplo, um arquivo inicialmente denominado “1.jpg” foi transformado em “1.jpg.id-9ECFA84E.[zohodzin@tuta.io].z1n”.

Após esse processo de criptografia, o Z1n gerou notas de resgate exibidas em uma janela pop-up e um arquivo de texto chamado “read.txt”. Este arquivo de texto foi colocado na área de trabalho e em todos os diretórios que contêm arquivos criptografados. O conteúdo do arquivo de texto do ransomware Z1n informa a vítima sobre o bloqueio de dados e a incentiva a entrar em contato com os invasores para recuperação.

A mensagem pop-up fornece detalhes adicionais sobre a infecção do ransomware, mencionando explicitamente a criptografia de arquivos inacessíveis. Embora não afirme diretamente que um resgate deve ser pago pela desencriptação, a implicação está presente.

Para garantir a recuperação, a mensagem oferece um teste de descriptografia gratuito para três arquivos, cada um não excedendo 5 MB ou contendo dados cruciais. A vítima também é fortemente advertida contra procurar assistência de terceiros (intermediários) e contra fazer modificações nos arquivos afetados.

Nota de resgate Z1n segue o exemplo do Dharma

O longo texto da nota de resgate completa do Z1n é o seguinte:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rejeição da transação e encerramento da comunicação: Os intermediários podem recusar-se a cooperar por motivos pessoais, o que pode resultar no encerramento da comunicação e dificultar a resolução de problemas.

Entendemos que a perda de dados pode ser um problema crítico e temos orgulho de fornecer serviços de recuperação de dados criptografados. Nós nos esforçamos para fornecer a você o mais alto nível de confiança em nossas habilidades e oferecemos as seguintes garantias:
-Demonstração de recuperação: oferecemos a capacidade de descriptografar até três arquivos de até 5 MB em base de demonstração.

Observe que esses arquivos não devem conter dados importantes e críticos.

A recuperação de demonstração tem como objetivo demonstrar nossas habilidades e capacidades.

-Qualidade Garantida: Prometemos que ao realizarmos a recuperação dos seus dados, trabalharemos com o máximo profissionalismo e atenção aos detalhes para garantir os melhores resultados possíveis.

Usamos tecnologia e técnicas avançadas para maximizar a probabilidade de uma recuperação bem-sucedida.

-Comunicação transparente: Nossa equipe está sempre disponível para esclarecer suas dúvidas e fornecer informações atualizadas sobre o processo de recuperação de dados.

Agradecemos sua participação e feedback.

Atenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, pois isso pode causar perda permanente de dados.
A desencriptação dos seus ficheiros com a ajuda de terceiros pode aumentar o preço (eles acrescentam a sua taxa à nossa) ou pode tornar-se vítima de uma fraude.

Como você pode proteger proativamente seus dados contra ransomware?

Proteger proativamente seus dados contra ransomware envolve a implementação de uma combinação de medidas preventivas e práticas recomendadas. Aqui estão várias estratégias para ajudar a proteger seus dados:

Backups regulares:
Faça backup regularmente de seus dados importantes em uma unidade externa ou em um serviço de nuvem seguro.
Certifique-se de que os backups sejam automatizados, frequentes e incluam todos os arquivos críticos.

Backups off-line:
Mantenha pelo menos uma cópia do seu backup off-line para evitar que ransomware o afete.
Desconecte o dispositivo de backup quando não estiver em uso para minimizar o risco de comprometimento.

Atualizar software e sistemas:
Atualize regularmente seu sistema operacional, software e aplicativos para corrigir vulnerabilidades.
Ative atualizações automáticas sempre que possível para ficar protegido contra as ameaças mais recentes.

Use software de segurança confiável:
Instale software antivírus e antimalware confiável para detectar e bloquear ransomware.
Mantenha as definições de software de segurança atualizadas para uma detecção eficaz de ameaças.

Educar e treinar usuários:
Eduque funcionários ou usuários sobre e-mails de phishing, links maliciosos e outras táticas de engenharia social.
Realize sessões regulares de treinamento para aumentar a conscientização sobre as melhores práticas de segurança cibernética.

Segmentação de rede:
Implemente a segmentação de rede para isolar sistemas e dados críticos de outras partes da rede.
Restrinja o acesso do usuário apenas aos recursos necessários para suas funções.

Segurança de e-mail:
Use sistemas de filtragem de e-mail para identificar e bloquear e-mails de phishing e anexos maliciosos.
Incentive os usuários a examinar os e-mails antes de clicar em links ou baixar anexos.