Conheça outra adição à família Dharma: Ztax Ransomware
Os ataques de ransomware se tornaram uma das formas mais disruptivas de crimes cibernéticos, visando indivíduos e organizações igualmente. O Ztax Ransomware faz parte da notória família de ransomware Dharma . Enquanto o ransomware normalmente visa extorquir vítimas criptografando seus dados, o Ztax apresenta suas próprias características únicas que o tornam particularmente preocupante.
Table of Contents
O que é Ztax Ransomware?
Ztax Ransomware é uma ameaça de criptografia de dados que bloqueia as vítimas de seus arquivos e exige pagamento para sua liberação. Este ransomware, como outros da família Dharma, adiciona sua própria extensão aos arquivos criptografados. Os arquivos infectados são renomeados com um ID de vítima exclusivo, um endereço de e-mail controlado pelo invasor e a extensão ".Ztax". Por exemplo, um arquivo chamado "photo.jpg" seria alterado para "photo.jpg.id-12345.[taxz@cock.li].Ztax", tornando-o inutilizável sem descriptografia.
Depois que o Ztax conclui o processo de criptografia, ele coloca notas de resgate na máquina da vítima. Essas notas aparecem tanto em janelas pop-up quanto em arquivos de texto chamados "manual.txt", que são encontrados na área de trabalho e em todas as pastas criptografadas. A nota de resgate é relativamente breve, instruindo as vítimas a enviar um e-mail ao invasor para obter mais etapas para recuperar seus dados.
Aqui está o que diz a nota de resgate:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Os pedidos de resgate e o processo de criptografia
Como muitos outros, o Ztax Ransomware exige pagamento em Bitcoin para descriptografar os arquivos. As vítimas são informadas de que podem testar o processo de descriptografia enviando até três arquivos para o invasor, oferecendo alguma garantia de que pagar o resgate pode funcionar. No entanto, os invasores fornecem um aviso contra o uso de ferramentas de terceiros ou a tentativa de modificar os arquivos criptografados, ameaçando causar mais danos aos dados.
Uma característica notável do Ztax e de outras variantes do ransomware Dharma é que eles não criptografam arquivos críticos do sistema, o que significa que o dispositivo permanece operacional mesmo após o ataque. Isso o diferencia de alguns outros tipos de ransomware que podem incapacitar completamente um sistema. No entanto, isso não diminui o impacto do ataque, pois perder o acesso a arquivos pessoais ou relacionados a negócios pode ser devastador.
Como o Ztax Ransomware se espalha e persiste
O Ztax Ransomware, assim como outras variantes do Dharma, geralmente se espalha por meio de vulnerabilidades em serviços do Remote Desktop Protocol (RDP). Os invasores geralmente usam métodos de força bruta para obter acesso a sistemas mal protegidos. Uma vez lá dentro, eles desabilitam firewalls e iniciam o ataque de ransomware. Phishing e engenharia social também são métodos comuns de infecção, com anexos ou links maliciosos em e-mails sendo um mecanismo de entrega primário.
Após infectar um dispositivo, o Ztax garante persistência copiando a si mesmo para locais específicos dentro do sistema, como o caminho %LOCALAPPDATA%. Ele também se registra com certas teclas Run, permitindo que ele inicie automaticamente após cada reinicialização. Essa persistência garante que o ransomware continue afetando o sistema até que seja removido.
O que o Ztax Ransomware quer
Como todo ransomware, o principal objetivo do ransomware Ztax é o ganho financeiro. Ele exige pagamento em Bitcoin, uma criptomoeda favorecida por criminosos cibernéticos devido ao seu relativo anonimato. No entanto, pagar o resgate não garante a recuperação do arquivo. Em muitos casos, as vítimas nunca recebem as chaves de descriptografia ou o software, mesmo depois de cumprir com as exigências dos invasores.
A nota de resgate da Ztax enfatiza os riscos de tentar recuperar arquivos usando ferramentas de terceiros ou pedir ajuda de serviços externos. Essa é uma tática de intimidação frequentemente usada para coagir vítimas a pagar, mesmo que a recuperação esteja longe de ser certa.
Prevenção e recuperação do Ztax Ransomware
Depois que o Ztax Ransomware infecta um sistema e criptografa arquivos, removê-lo não restaura os dados comprometidos. A única maneira confiável de recuperar arquivos é usando backups que foram criados antes da infecção e armazenados em um local seguro e desconectado. Infelizmente, o Ztax também exclui Cópias de Sombra de Volume — um recurso de backup automatizado em alguns sistemas — eliminando isso como um método de recuperação potencial.
Para evitar tais ataques, usuários e organizações devem manter práticas de segurança fortes. Isso inclui manter backups de dados importantes em vários locais seguros, como servidores remotos e dispositivos de armazenamento externo. Além disso, o gerenciamento robusto de credenciais e a atualização regular do software de segurança podem ajudar a mitigar o risco de ser vítima de ransomware.
Lições do ataque do ransomware Ztax
O Ztax Ransomware é outro lembrete da importância de medidas proativas de segurança cibernética. Sua capacidade de criptografar arquivos sem tornar o sistema inoperante pode fazer com que pareça menos grave, mas o dano que ele causa pode ser duradouro e financeiramente incapacitante. A família Dharma de ransomware continua a evoluir, explorando sistemas vulneráveis e usuários desavisados.
Para todos, a chave para se proteger contra ransomware como o Ztax é a vigilância. Evitar downloads suspeitos, implementar políticas de senha fortes e proteger serviços RDP pode reduzir significativamente o risco de um ataque. E o mais importante, ter backups atualizados garante que, mesmo se o ransomware atacar, a recuperação seja possível sem pagar nas mãos de criminosos cibernéticos.
