Встречайте еще одно пополнение в семействе Dharma: Ztax Ransomware
Атаки с использованием программ-вымогателей стали одной из самых разрушительных форм киберпреступности, нацеленной как на отдельных лиц, так и на организации. Ztax Ransomware является частью печально известного семейства программ-вымогателей Dharma . Хотя программы-вымогатели обычно нацелены на вымогательство денег у жертв путем шифрования их данных, Ztax имеет свои собственные уникальные черты, которые делают его особенно опасным.
Table of Contents
Что такое Ztax Ransomware?
Ztax Ransomware — это шифрующая данные угроза, которая блокирует жертвам доступ к их файлам и требует плату за их освобождение. Эта программа-вымогатель, как и другие в семействе Dharma, добавляет собственное расширение к зашифрованным файлам. Зараженные файлы переименовываются с использованием уникального идентификатора жертвы, адреса электронной почты, контролируемого злоумышленником, и расширения «.Ztax». Например, файл с именем «photo.jpg» будет изменен на «photo.jpg.id-12345.[taxz@cock.li].Ztax», что делает его непригодным для использования без расшифровки.
После того, как Ztax завершает процесс шифрования, он сбрасывает записки с требованием выкупа на машину жертвы. Эти заметки появляются как во всплывающих окнах, так и в текстовых файлах с именем «manual.txt», которые находятся на рабочем столе и во всех зашифрованных папках. Записка с требованием выкупа относительно короткая, в ней жертвам предлагается отправить злоумышленнику электронное письмо для дальнейших шагов по восстановлению своих данных.
Вот что говорится в записке о выкупе:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Требования выкупа и процесс шифрования
Как и многие другие, Ztax Ransomware требует оплату в биткоинах за расшифровку файлов. Жертвам говорят, что они могут протестировать процесс расшифровки, отправив до трех файлов злоумышленнику, что дает некоторую гарантию того, что выплата выкупа может сработать. Однако злоумышленники предупреждают об опасности использования сторонних инструментов или попыток изменить зашифрованные файлы, что грозит дальнейшим повреждением данных.
Одной из примечательных характеристик Ztax и других вариантов программ-вымогателей Dharma является то, что они не шифруют критически важные системные файлы, что означает, что устройство остается работоспособным даже после атаки. Это отличает его от некоторых других типов программ-вымогателей, которые могут полностью вывести систему из строя. Однако это не уменьшает последствия атаки, поскольку потеря доступа к личным или связанным с бизнесом файлам может быть разрушительной.
Как распространяется и сохраняется вирус-вымогатель Ztax
Ztax Ransomware, как и другие варианты Dharma, часто распространяется через уязвимости в службах Remote Desktop Protocol (RDP). Злоумышленники обычно используют методы подбора, чтобы получить доступ к плохо защищенным системам. Оказавшись внутри, они отключают брандмауэры и запускают атаку с использованием программы-вымогателя. Фишинг и социальная инженерия также являются распространенными методами заражения, причем основным механизмом доставки являются вредоносные вложения или ссылки в электронных письмах.
После заражения устройства Ztax обеспечивает сохранение, копируя себя в определенные места в системе, например, в путь %LOCALAPPDATA%. Он также регистрируется с определенными ключами запуска, что позволяет ему автоматически запускаться после каждой перезагрузки. Эта устойчивость гарантирует, что программа-вымогатель продолжает влиять на систему, пока не будет удалена.
Чего хочет Ztax Ransomware
Как и все программы-вымогатели, основная цель программы-вымогателя Ztax — финансовая выгода. Она требует оплату в биткоинах, криптовалюте, которую киберпреступники предпочитают из-за ее относительной анонимности. Однако выплата выкупа не гарантирует восстановление файлов. Во многих случаях жертвы никогда не получают ключи дешифрования или программное обеспечение, даже после выполнения требований злоумышленников.
В записке о выкупе Ztax подчеркивается риск попыток восстановить файлы с помощью сторонних инструментов или обращения за помощью к внешним службам. Это тактика запугивания, часто используемая для принуждения жертв к выплате, даже если восстановление далеко не гарантировано.
Профилактика и восстановление после Ztax Ransomware
После того, как Ztax Ransomware заразил систему и зашифровал файлы, его удаление не восстановит скомпрометированные данные. Единственный надежный способ восстановить файлы — использовать резервные копии, которые были созданы до заражения и сохранены в безопасном, отключенном месте. К сожалению, Ztax также удаляет Volume Shadow Copies — автоматизированную функцию резервного копирования в некоторых системах — исключая ее как потенциальный метод восстановления.
Чтобы предотвратить такие атаки, пользователи и организации должны поддерживать надежные методы обеспечения безопасности. Это включает в себя хранение резервных копий важных данных в нескольких безопасных местах, таких как удаленные серверы и внешние устройства хранения. Кроме того, надежное управление учетными данными и регулярное обновление программного обеспечения безопасности могут помочь снизить риск стать жертвой программ-вымогателей.
Уроки атаки вируса-вымогателя Ztax
Ztax Ransomware — еще одно напоминание о важности проактивных мер кибербезопасности. Его способность шифровать файлы, не выводя систему из строя, может показаться менее серьезной, но наносимый им ущерб может быть долгосрочным и финансово разрушительным. Семейство программ-вымогателей Dharma продолжает развиваться, эксплуатируя уязвимые системы и ничего не подозревающих пользователей.
Для всех ключ к защите от программ-вымогателей, таких как Ztax, — бдительность. Избегание подозрительных загрузок, внедрение надежных политик паролей и обеспечение безопасности служб RDP могут значительно снизить риск атаки. И самое главное, наличие актуальных резервных копий гарантирует, что даже в случае атаки программ-вымогателей восстановление будет возможным без попадания в руки киберпреступников.
