Möt ytterligare ett tillägg till Dharma-familjen: Ztax Ransomware
Ransomware-attacker har blivit en av de mest störande formerna av cyberbrottslighet, riktade mot både individer och organisationer. Ztax Ransomware är en del av den ökända Dharma ransomware-familjen . Medan ransomware vanligtvis syftar till att pressa offer genom att kryptera deras data, presenterar Ztax sina egna unika egenskaper som gör det särskilt oroande.
Table of Contents
Vad är Ztax Ransomware?
Ztax Ransomware är ett datakrypterande hot som låser offren ute från sina filer och kräver betalning för deras frigivning. Denna ransomware, liksom andra i Dharma-familjen, lägger till sin egen förlängning till krypterade filer. Infekterade filer döps om med ett unikt offer-ID, en angriparkontrollerad e-postadress och tillägget ".Ztax". Till exempel skulle en fil med namnet "photo.jpg" ändras till "photo.jpg.id-12345.[taxz@cock.li].Ztax", vilket gör den oanvändbar utan dekryptering.
När Ztax har slutfört krypteringsprocessen släpper den lösesedlar på offrets dator. Dessa anteckningar visas både i popup-fönster och i textfiler med namnet "manual.txt", som finns på skrivbordet och i alla krypterade mappar. Lösenedeln är relativt kort och instruerar offren att maila angriparen för ytterligare steg för att återställa sina data.
Så här står det i lösennotan:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Lösenkraven och krypteringsprocessen
Som många andra kräver Ztax Ransomware betalning i Bitcoin för fildekryptering. Offren får veta att de kan testa dekrypteringsprocessen genom att skicka upp till tre filer till angriparen, vilket ger viss garanti för att det kan fungera att betala lösensumman. Angriparna varnar dock för att använda verktyg från tredje part eller att försöka modifiera de krypterade filerna, vilket hotar ytterligare skada på data.
En anmärkningsvärd egenskap hos Ztax och andra Dharma ransomware-varianter är att de inte krypterar kritiska systemfiler, vilket innebär att enheten förblir i drift även efter attacken. Detta skiljer den från vissa andra typer av ransomware som helt kan göra ett system ur funktion. Detta minskar dock inte effekten av attacken eftersom att förlora åtkomst till personliga eller affärsrelaterade filer kan vara förödande.
Hur Ztax Ransomware sprids och kvarstår
Ztax Ransomware, liksom andra Dharma-varianter, sprids ofta genom sårbarheter i Remote Desktop Protocol-tjänster (RDP). Angripare använder vanligtvis brute-force-metoder för att få tillgång till dåligt säkrade system. Väl inne inaktiverar de brandväggar och startar ransomware-attacken. Nätfiske och social ingenjörskonst är också vanliga infektionsmetoder, där skadliga bilagor eller länkar i e-postmeddelanden är en primär leveransmekanism.
Efter att ha infekterat en enhet säkerställer Ztax beständighet genom att kopiera sig själv till specifika platser i systemet, till exempel %LOCALAPPDATA%-sökvägen. Den registreras också med vissa Run-nycklar, vilket gör att den startar automatiskt efter varje omstart. Denna uthållighet säkerställer att ransomware fortsätter att påverka systemet tills det tas bort.
Vad Ztax Ransomware vill ha
Som all ransomware är Ztax ransomwares primära mål ekonomisk vinst. Den kräver betalning i Bitcoin, en kryptovaluta som gynnas av cyberbrottslingar på grund av dess relativa anonymitet. Att betala lösensumman garanterar dock inte filåterställning. I många fall får offren aldrig dekrypteringsnycklarna eller programvaran, även efter att ha följt angriparnas krav.
Ztax lösennota betonar riskerna med att försöka återställa filer med hjälp av tredjepartsverktyg eller be om hjälp från externa tjänster. Detta är en skrämseltaktik som ofta används för att tvinga offer att betala, även om återhämtningen är långt ifrån säker.
Förebyggande och återställning från Ztax Ransomware
När Ztax Ransomware väl har infekterat ett system och krypterat filer, kommer det inte att återställa den komprometterade informationen om den tas bort. Det enda tillförlitliga sättet att återställa filer är att använda säkerhetskopior som skapades före infektionen och lagras på en säker, frånkopplad plats. Tyvärr tar Ztax också bort Volume Shadow Copies – en automatisk säkerhetskopieringsfunktion i vissa system – vilket eliminerar detta som en potentiell återställningsmetod.
För att förhindra sådana attacker bör användare och organisationer upprätthålla starka säkerhetsrutiner. Detta inkluderar att spara säkerhetskopior av viktig data på flera säkra platser, såsom fjärrservrar och externa lagringsenheter. Dessutom kan robust autentiseringshantering och regelbunden uppdatering av säkerhetsprogramvara hjälpa till att minska risken att falla offer för ransomware.
Lärdomar från Ztax Ransomware Attack
Ztax Ransomware är ytterligare en påminnelse om vikten av proaktiva cybersäkerhetsåtgärder. Dess förmåga att kryptera filer utan att göra systemet obrukbart kan få det att verka mindre allvarligt, men skadan den orsakar kan vara långvarig och ekonomiskt förödande. Dharma-familjen av ransomware fortsätter att utvecklas och utnyttjar sårbara system och intet ont anande användare.
För alla är nyckeln till att skydda mot ransomware som Ztax vaksamhet. Att undvika misstänkta nedladdningar, implementera starka lösenordspolicyer och säkra RDP-tjänster kan avsevärt minska risken för en attack. Och viktigast av allt, att ha uppdaterade säkerhetskopior på plats säkerställer att även om ransomware slår till, är återställning möjlig utan att betala i händerna på cyberbrottslingar.
