Z1n-Ransomware
Bei der Untersuchung von Malware-Bedrohungen haben Forscher die Z1n-Ransomware identifiziert und Aufschluss über deren bösartige Natur gegeben. Z1n agiert als Ransomware-Variante und nutzt eine Technik, bei der es Daten auf kompromittierten Geräten verschlüsselt und anschließend ein Lösegeld für die Entschlüsselung verlangt.
Bei der Ausführung auf Zielgeräten verschlüsselt Z1n Dateien, macht sie unzugänglich und ändert ihre Dateinamen. Die ursprünglichen Dateititel werden umgewandelt, wobei dem Opfer eine exklusive ID, die E-Mail-Adresse des Angreifers und die Erweiterung „.z1n“ zugewiesen werden. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.doc“ in „1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n“ umgewandelt.
Nach dem Verschlüsselungsprozess generiert Z1n Lösegeldforderungen in Form eines Popup-Fensters und einer Textdatei namens „read.txt“. Insbesondere werden die als Textdateien übermittelten Lösegeldforderungen auf dem Desktop und in allen verschlüsselten Verzeichnissen abgelegt. Eine wichtige Entdeckung der Forscher ist, dass Z1n zur Dharma-Ransomware- Familie gehört, was Einblicke in deren Klassifizierung und Herkunft bietet.
Inhaltsverzeichnis
Die Z1n-Ransomware kann bei infizierten Geräten erheblichen Schaden anrichten
Z1n wird als Mitglied der Dharma-Ransomware-Familie identifiziert, die sich dadurch auszeichnet, dass sie es vermeidet, das infizierte Gerät durch den bewussten Verzicht auf die Verschlüsselung kritischer Systemdateien außer Betrieb zu setzen. Dieser strategische Ansatz zielt insbesondere darauf ab, sicherzustellen, dass wesentliche Systemfunktionen unbeeinträchtigt bleiben, sodass das infizierte Gerät trotz der Ransomware-Aktivität betriebsbereit bleibt.
Zusätzlich zu dieser einzigartigen Eigenschaft weisen die Dharma-Ransomware-Varianten, einschließlich Z1n, ein ausgeklügeltes Verhalten bei der Erfassung von Geolokalisierungsdaten nach der Infiltration auf. Diese Daten werden dann verwendet, um die Machbarkeit einer Verschlüsselung zu beurteilen, wobei Überlegungen wie die Vermeidung von Maschinen in wirtschaftlich schwachen Regionen oder in Ländern mit ähnlichen politischen oder geopolitischen Ideologien berücksichtigt werden.
Beim Eindringen in ein System deaktivieren diese Ransomware-Programme die Firewall und stellen über zwei Mechanismen Persistenz her. Erstens, indem die Malware in den %LOCALAPPDATA%-Pfad kopiert und mit bestimmten Run-Tasten registriert wird, und zweitens, indem die Malware nach jedem Systemneustart automatisch initiiert wird.
Dharma-Ransomware, einschließlich Z1n, verwendet eine Verschlüsselungsstrategie, die sowohl lokale als auch im Netzwerk freigegebene Dateien umfasst. Um Ausnahmen zu verhindern, weil Dateien als „in Verwendung“ gelten, beendet die Ransomware Prozesse, die mit geöffneten Dateien verbunden sind, einschließlich Datenbankprogrammen und Textdatei-Readern.
Ein bemerkenswertes Merkmal ist der Versuch der Ransomware, eine doppelte Verschlüsselung zu vermeiden, indem sie einer Ausschlussliste für Daten folgt, die bereits von anderer Ransomware gesperrt wurden. Es wird jedoch anerkannt, dass dieser Prozess nicht narrensicher ist, da er möglicherweise nicht alle Infektionen ähnlicher Art abdeckt. Dharma verkompliziert die Datenwiederherstellungsoptionen zusätzlich, indem es die Schattenkopien löscht, wodurch die potenziellen Möglichkeiten zur Wiederherstellung verschlüsselter Dateien eingeschränkt werden.
Opfer der Z1n-Ransomware erhalten Anweisungen zur Zahlung des Lösegelds
Die mit der Z1n-Ransomware verknüpfte Textdatei dient als kurze Mitteilung an das Opfer und informiert es darüber, dass seine Daten gesperrt wurden. Es ermutigt das Opfer, Kontakt mit den Angreifern aufzunehmen, um den Wiederherstellungsprozess einzuleiten. Detailliertere Informationen liefert hingegen die Popup-Meldung, die die Ransomware-Infektion begleitet. Es wird ausdrücklich erwähnt, dass die unzugänglich gemachten Dateien verschlüsselt wurden. In der Notiz wird zwar nicht ausdrücklich darauf hingewiesen, dass die Zahlung eines Lösegelds für die Entschlüsselung erforderlich ist, doch wird eine solche Anforderung stark impliziert.
Um den Anschein einer Wiederherstellungsgarantie zu erwecken, bietet die Nachricht einen kostenlosen Entschlüsselungstest an. Mit diesem Test kann das Opfer die Möglichkeit einer Wiederherstellung anhand von drei Dateien beurteilen, die jeweils nicht größer als 5 MB sind und keine kritischen Daten enthalten. Bemerkenswert ist jedoch, dass das Opfer davor gewarnt wird, die Hilfe Dritter (Vermittler) in Anspruch zu nehmen, und von Änderungen an den betroffenen Dateien abgeraten wird. Diese Warnungen unterstreichen den Schwerpunkt der Ransomware-Betreiber auf direkte Kommunikation und die Einhaltung ihrer festgelegten Prozesse für eine mögliche Datenwiederherstellung.
Experten raten davon ab, Cyberkriminellen Geld zu geben
Die Entschlüsselung von durch Ransomware-Bedrohungen verschlüsselten Dateien erfordert in der Regel das Eingreifen der Angreifer, was die Wiederherstellung zu einem anspruchsvollen Prozess macht. Ausnahmen von dieser Regel sind selten und betreffen häufig Fälle, in denen die Ransomware erhebliche Mängel aufweist.
Opfer, die Lösegeldforderungen nachkommen, stehen möglicherweise immer noch ohne die erforderlichen Entschlüsselungsschlüssel oder -werkzeuge da. Diese Unvorhersehbarkeit unterstreicht die Unzuverlässigkeit von Cyberkriminellen bei der Einhaltung von Versprechen. Daher wird dringend davon abgeraten, Zahlungen zu leisten oder den Anweisungen dieser böswilligen Akteure zu folgen. Die Durchführung solcher Maßnahmen stellt nicht nur keine Garantie für die Wiederherstellung der Dateien dar, sondern unterstützt und verewigt auch die kriminellen Aktivitäten.
Es ist wichtig zu beachten, dass das Entfernen von Ransomware aus dem Betriebssystem zwar weitere Verschlüsselungen verhindert, zuvor gefährdete Daten jedoch nicht automatisch wiederherstellt. Um die Datensicherheit zu erhöhen, wird empfohlen, Backups an mehreren Orten aufzubewahren, beispielsweise auf nicht angeschlossenen Speichergeräten und Remote-Servern. Dieser vielschichtige Ansatz zur Backup-Speicherung trägt dazu bei, die Auswirkungen von Ransomware-Angriffen zu mildern und sorgt für eine robustere Datenwiederherstellungsstrategie.
Der Lösegeldschein, der den Opfern in einem Popup-Fenster angezeigt wird, lautet:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
