Dharma 家族的另一位新成員:Ztax 勒索軟體
勒索軟體攻擊已成為最具破壞性的網路犯罪形式之一,針對個人和組織等。 Ztax 勒索軟體是臭名昭著的Dharma 勒索軟體家族的一部分。雖然勒索軟體通常旨在透過加密受害者的資料來勒索受害者,但 Ztax 具有其獨特的特徵,這使其特別令人擔憂。
Table of Contents
什麼是 Ztax 勒索軟體?
Ztax 勒索軟體是一種資料加密威脅,它會鎖定受害者的文件,並要求付費才能釋放。該勒索軟體與 Dharma 家族中的其他勒索軟體一樣,為加密檔案添加了自己的副檔名。受感染的檔案將使用唯一的受害者 ID、攻擊者控制的電子郵件地址和「.Ztax」副檔名進行重新命名。例如,名為“photo.jpg”的檔案將被更改為“photo.jpg.id-12345.[taxz@cock.li].Ztax”,使其在不解密的情況下無法使用。
一旦 Ztax 完成加密過程,它就會將勒索信投到受害者的機器上。這些註釋同時出現在彈出視窗和名為「manual.txt」的文字檔案中,這些文字檔案位於桌面和所有加密資料夾中。勒索信相對簡短,指示受害者向攻擊者發送電子郵件,以採取進一步措施來恢復其資料。
勒索信的內容如下:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
贖金要求和加密過程
與許多其他勒索軟體一樣,Ztax 勒索軟體要求使用比特幣付款才能解密檔案。受害者被告知,他們可以透過向攻擊者發送最多三個檔案來測試解密過程,從而保證支付贖金可能有效。然而,攻擊者警告不要使用第三方工具或嘗試修改加密文件,否則可能會進一步損壞資料。
Ztax 和其他 Dharma 勒索軟體變體的一個顯著特徵是它們不會加密關鍵系統文件,這意味著即使在攻擊後設備仍然可以運行。這使其與其他一些可以使系統完全癱瘓的勒索軟體類型區分開來。然而,這並不能減少攻擊的影響,因為失去對個人或業務相關文件的存取可能會造成災難性的後果。
Ztax 勒索軟體如何傳播與持續存在
Ztax 勒索軟體與其他 Dharma 變種一樣,通常透過遠端桌面協定 (RDP) 服務中的漏洞進行傳播。攻擊者通常使用暴力方法來存取安全性較差的系統。一旦進入,他們就會禁用防火牆並發動勒索軟體攻擊。網路釣魚和社會工程也是常見的感染方法,電子郵件中的惡意附件或連結是主要的傳遞機制。
感染設備後,Ztax 透過將自身複製到系統內的特定位置(例如 %LOCALAPPDATA% 路徑)來確保持久性。它還註冊了某些運行鍵,使其能夠在每次重新啟動後自動啟動。這種持久性可確保勒索軟體繼續影響系統,直到將其刪除。
Ztax 勒索軟體想要什麼
與所有勒索軟體一樣,Ztax 勒索軟體的主要目標是經濟利益。它要求以比特幣付款,比特幣是一種因其相對匿名性而受到網路犯罪分子青睞的加密貨幣。但是,支付贖金並不能保證文件恢復。在許多情況下,即使受害者遵守了攻擊者的要求,也永遠不會收到解密金鑰或軟體。
Ztax 的勒索信強調了嘗試使用第三方工具恢復文件或向外部服務尋求幫助的風險。這是一種經常用來強迫受害者付款的恐嚇策略,儘管受害者能否康復還遠未確定。
Ztax 勒索軟體的預防與恢復
一旦 Ztax 勒索軟體感染了系統並加密了文件,將其刪除將無法恢復受損的資料。恢復檔案的唯一可靠方法是使用在感染之前建立並儲存在安全、斷開連接的位置的備份。不幸的是,Ztax 還刪除了卷影副本(某些系統中的自動備份功能),從而消除了這種潛在的復原方法。
為了防止此類攻擊,使用者和組織應保持強有力的安全實踐。這包括將重要資料的備份保存在多個安全位置,例如遠端伺服器和外部儲存設備。此外,強大的憑證管理和定期更新安全軟體可以幫助降低成為勒索軟體受害者的風險。
Ztax 勒索軟體攻擊的教訓
Ztax 勒索軟體再次提醒我們主動採取網路安全措施的重要性。它能夠在不使系統無法運作的情況下加密文件,這可能使它看起來不那麼嚴重,但它造成的損害可能是持久的,並且會造成經濟損失。 Dharma 系列勒索軟體不斷發展,利用易受攻擊的系統和毫無戒心的用戶。
對每個人來說,防範 Ztax 等勒索軟體的關鍵是保持警惕。避免可疑下載、實施強密碼策略和保護 RDP 服務可以顯著降低攻擊風險。最重要的是,擁有最新的備份可以確保即使勒索軟體遭受攻擊,也可以在不落入網路犯罪分子手中的情況下進行復原。
