Dharma 家族又添新成员:Ztax 勒索软件
勒索软件攻击已成为最具破坏性的网络犯罪形式之一,针对个人和组织。Ztax 勒索软件是臭名昭著的Dharma 勒索软件家族的一部分。虽然勒索软件通常旨在通过加密受害者的数据来勒索受害者,但 Ztax 具有其独特的特征,使其特别令人担忧。
Table of Contents
什么是 Ztax 勒索软件?
Ztax 勒索软件是一种数据加密威胁,它会锁定受害者的文件,并要求受害者支付赎金才能释放文件。与 Dharma 家族的其他勒索软件一样,这种勒索软件也会在加密文件中添加自己的扩展名。受感染的文件会使用唯一的受害者 ID、攻击者控制的电子邮件地址和“.Ztax”扩展名进行重命名。例如,名为“photo.jpg”的文件将被更改为“photo.jpg.id-12345.[taxz@cock.li].Ztax”,如果不解密,则无法使用。
一旦 Ztax 完成加密过程,它就会将勒索信发送到受害者的机器上。这些信既出现在弹出窗口,也出现在名为“manual.txt”的文本文件中,这些文本文件位于桌面和所有加密文件夹中。勒索信相对简短,指示受害者向攻击者发送电子邮件,以获取恢复数据的进一步步骤。
赎金通知内容如下:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
赎金要求和加密过程
和许多其他勒索软件一样,Ztax 勒索软件要求以比特币支付文件解密费用。受害者被告知,他们可以通过向攻击者发送最多三个文件来测试解密过程,这在一定程度上保证了支付赎金可能会奏效。然而,攻击者警告不要使用第三方工具或尝试修改加密文件,并威胁要进一步损坏数据。
Ztax 和其他 Dharma 勒索软件变体的一个显著特点是它们不会加密关键系统文件,这意味着设备在受到攻击后仍可正常运行。这使它有别于其他一些可以完全瘫痪系统的勒索软件类型。然而,这并不能减轻攻击的影响,因为失去对个人或企业相关文件的访问权可能会造成毁灭性的影响。
Ztax 勒索软件如何传播和持续存在
Ztax 勒索软件与其他 Dharma 变体一样,通常通过远程桌面协议 (RDP) 服务中的漏洞进行传播。攻击者通常使用暴力破解方法来访问安全性较差的系统。一旦进入系统,他们就会禁用防火墙并发起勒索软件攻击。网络钓鱼和社会工程也是常见的感染方法,电子邮件中的恶意附件或链接是主要的传播机制。
感染设备后,Ztax 会将自身复制到系统内的特定位置(例如 %LOCALAPPDATA% 路径),以确保持久性。它还会注册某些 Run 键,使其能够在每次重启后自动启动。这种持久性可确保勒索软件持续影响系统,直到被删除。
Ztax 勒索软件想要什么
和所有勒索软件一样,Ztax 勒索软件的主要目标是获取经济利益。它要求以比特币支付,比特币是一种加密货币,由于其相对匿名性而受到网络犯罪分子的青睐。然而,支付赎金并不能保证文件恢复。在许多情况下,即使遵从攻击者的要求,受害者也永远不会收到解密密钥或软件。
Ztax 的勒索信强调了尝试使用第三方工具或寻求外部服务帮助来恢复文件的风险。这是一种恐吓手段,通常用于胁迫受害者付款,尽管恢复还远未确定。
预防和恢复 Ztax 勒索软件
一旦 Ztax 勒索软件感染了系统并加密了文件,删除它也无法恢复受损数据。恢复文件的唯一可靠方法是使用感染前创建并存储在安全、断开连接位置的备份。不幸的是,Ztax 还会删除卷影副本(某些系统中的自动备份功能),从而消除了这种潜在的恢复方法。
为了防止此类攻击,用户和组织应保持强大的安全措施。这包括在多个安全位置(例如远程服务器和外部存储设备)保存重要数据的备份。此外,强大的凭证管理和定期更新安全软件可以帮助降低成为勒索软件受害者的风险。
Ztax 勒索软件攻击的教训
Ztax 勒索软件再次提醒我们主动采取网络安全措施的重要性。它能够在不导致系统无法运行的情况下加密文件,这可能让它看起来不那么严重,但它造成的损害可能是长期的,并且会造成巨大的经济损失。Dharma 勒索软件家族不断演变,利用脆弱的系统和毫无戒心的用户。
对于每个人来说,防范 Ztax 等勒索软件的关键是保持警惕。避免可疑下载、实施强密码策略和保护 RDP 服务可以显著降低攻击风险。最重要的是,拥有最新的备份可以确保即使勒索软件来袭,也可以恢复,而无需落入网络犯罪分子之手。
