Программа-вымогатель Z1n блокирует системы жертв

В ходе плановой проверки новых файлов наши исследователи выявили программу-вымогатель Z1n, принадлежащую к семейству программ-вымогателей Dharma. Это вредоносное ПО шифрует данные и требует оплату за ключ расшифровки.

В нашей тестовой среде программа-вымогатель шифровала файлы и изменяла их имена. Первоначальные имена были дополнены уникальным идентификатором жертвы, адресом электронной почты злоумышленников и расширением «.z1n». Например, файл с первоначальным названием «1.jpg» был преобразован в «1.jpg.id-9ECFA84E.[zohodzin@tuta.io].z1n».

После этого процесса шифрования Z1n создал заметки о выкупе, отображаемые во всплывающем окне, и текстовый файл с именем «read.txt». Этот текстовый файл размещался на рабочем столе и во всех каталогах, содержащих зашифрованные файлы. Содержимое текстового файла программы-вымогателя Z1n информирует жертву о блокировке данных и побуждает ее связаться с злоумышленниками для восстановления.

Всплывающее сообщение предоставляет дополнительную информацию о заражении программой-вымогателем, в которой явно упоминается шифрование недоступных файлов. Хотя прямо не говорится о том, что за расшифровку необходимо заплатить выкуп, подтекст присутствует.

Чтобы гарантировать восстановление, в сообщении предлагается бесплатный тест на расшифровку трех файлов, каждый из которых не превышает 5 МБ и не содержит важных данных. Жертве также настоятельно рекомендуется не обращаться за помощью к третьим лицам (посредникам) и не вносить изменения в затронутые файлы.

Записка о выкупе Z1n следует примеру Дхармы

Длинный текст полной записки о выкупе Z1n выглядит следующим образом:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Отказ от сделки и прекращение общения: Посредники могут отказаться от сотрудничества по личным причинам, что может повлечь за собой прекращение общения и затруднить решение вопросов.

Мы понимаем, что потеря данных может быть критической проблемой, и мы гордимся тем, что предоставляем вам услуги по восстановлению зашифрованных данных. Мы стремимся предоставить Вам высочайший уровень уверенности в наших силах и предлагаем следующие гарантии:
-Демо-восстановление: Мы предоставляем возможность расшифровать до трех файлов размером до 5 МБ на демонстрационной основе.

Обратите внимание, что эти файлы не должны содержать важные и критичные данные.

Демо-восстановление предназначено для демонстрации наших навыков и возможностей.

-Гарантированное качество: мы обещаем, что при восстановлении ваших данных мы будем работать с максимальным профессионализмом и вниманием к деталям, чтобы обеспечить наилучшие результаты.

Мы используем передовые технологии и методы, чтобы максимизировать вероятность успешного восстановления.

-Прозрачное общение: наша команда всегда готова ответить на ваши вопросы и предоставить актуальную информацию о процессе восстановления данных.

Мы ценим ваше участие и отзывы.

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенничества.

Как вы можете заранее защитить свои данные от программ-вымогателей?

Проактивная защита ваших данных от программ-вымогателей включает в себя сочетание профилактических мер и лучших практик. Вот несколько стратегий, которые помогут защитить ваши данные:

Регулярное резервное копирование:
Регулярно создавайте резервные копии важных данных на внешний диск или в защищенный облачный сервис.
Убедитесь, что резервное копирование выполняется автоматически, часто и включает все важные файлы.

Автономные резервные копии:
Храните хотя бы одну копию резервной копии в автономном режиме, чтобы предотвратить воздействие на нее программ-вымогателей.
Отключайте резервное устройство, когда оно не используется, чтобы минимизировать риск компрометации.

Обновление программного обеспечения и систем:
Регулярно обновляйте свою операционную систему, программное обеспечение и приложения для устранения уязвимостей.
По возможности включайте автоматические обновления, чтобы оставаться защищенным от новейших угроз.

Используйте надежное программное обеспечение безопасности:
Установите надежное антивирусное и антивирусное программное обеспечение для обнаружения и блокировки программ-вымогателей.
Поддерживайте актуальность определений программного обеспечения безопасности для эффективного обнаружения угроз.

Обучение и обучение пользователей:
Просвещайте сотрудников и пользователей о фишинговых электронных письмах, вредоносных ссылках и других тактиках социальной инженерии.
Проводить регулярные учебные занятия для повышения осведомленности о передовых методах кибербезопасности.

Сегментация сети:
Внедрите сегментацию сети, чтобы изолировать критически важные системы и данные от других частей сети.
Ограничьте доступ пользователей только к ресурсам, необходимым для их ролей.

Безопасность электронной почты:
Используйте системы фильтрации электронной почты для выявления и блокировки фишинговых писем и вредоносных вложений.
Поощряйте пользователей внимательно проверять электронные письма, прежде чем переходить по ссылкам или загружать вложения.