Z1n ランサムウェア
研究者たちはマルウェアの脅威を調査する中で、Z1n ランサムウェアを特定し、その悪意のある性質を明らかにしました。 Z1n はランサムウェアの亜種として動作し、侵害されたデバイス上のデータを暗号化し、その後復号化のために身代金を要求する手法を採用しています。
標的のデバイス上で実行されると、Z1n はファイルを暗号化してアクセス不能にし、ファイル名を変更します。元のファイルのタイトルは変換され、被害者に割り当てられた専用 ID、攻撃者の電子メール アドレス、および「.z1n」拡張子が追加されます。たとえば、元々「1.doc」という名前だったファイルは、「1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n」に変換されます。
暗号化プロセスの後、Z1n はポップアップ ウィンドウと「read.txt」という名前のテキスト ファイルの形式で身代金メモを生成します。特に、テキスト ファイルとして配信された身代金メモは、デスクトップおよびすべての暗号化されたディレクトリ内に置かれます。研究者らからの重要な事実は、Z1n がDharma Ransomwareファミリに属しているということであり、その分類と起源についての洞察が得られます。
目次
Z1n ランサムウェアは感染したデバイスに重大な損害を与える可能性があります
Z1n は、Dharma Ransomware ファミリのメンバーとして識別されており、重要なシステム ファイルの暗号化を意図的に省略することで、感染したデバイスが動作不能になることを回避することで区別されます。特に、この戦略的アプローチは、重要なシステム機能が影響を受けないようにすることを目的としており、ランサムウェア活動にもかかわらず、感染したデバイスが動作し続けることを可能にします。
このユニークな特性に加えて、Z1n を含む Dharma ランサムウェアの亜種は、侵入後に地理位置情報データを収集する洗練された動作を示します。このデータは、経済的に弱い地域にあるマシンや、政治的または地政学的なイデオロギーが一致する国のマシンを避けるなどの考慮事項を考慮して、暗号化を進める実現可能性を評価するために利用されます。
これらのランサムウェア プログラムはシステムに侵入すると、ファイアウォールを無効にし、2 つのメカニズムを通じて永続性を確立します。まず、マルウェアを %LOCALAPPDATA% パスにコピーし、特定の Run キーに登録します。次に、システムが再起動されるたびにマルウェアが自動的に起動されます。
Z1n を含む Dharma ランサムウェアは、ローカル ファイルとネットワーク共有ファイルの両方を包含する暗号化戦略を採用しています。ファイルが「使用中」とみなされることによる除外を防ぐために、ランサムウェアは、データベース プログラムやテキスト ファイル リーダーなど、開かれているファイルに関連するプロセスを終了します。
注目すべき機能は、他のランサムウェアによってすでにロックされているデータの除外リストに従うことで、二重暗号化を回避しようとするランサムウェアの取り組みです。ただし、同様の性質のすべての感染症をカバーできるわけではないため、このプロセスは確実ではないことが認識されています。 Dharma はシャドウ ボリューム コピーを削除することでデータ回復オプションをさらに複雑にし、暗号化されたファイルを復元する可能性のある手段を制限します。
Z1n ランサムウェアの被害者には身代金の支払いを求める指示が残される
Z1n ランサムウェアに関連付けられたテキスト ファイルは、被害者への短い通信として機能し、データがロックされていることを通知します。これは、被害者が攻撃者と連絡を取り、回復プロセスを開始することを奨励します。一方、ランサムウェア感染に伴うポップアップ メッセージには、より詳細な情報が表示されます。アクセス不能になったファイルは暗号化されていることが明示的に記載されています。このメモでは、復号化には身代金の支払いが必要であるという明確な記載は避けられていますが、そのような要件を強く示唆しています。
一見した回復保証を提供する試みとして、メッセージは無料の復号化テストのオファーを延長しています。このテストにより、被害者は、それぞれのサイズが 5MB を超えず、重要なデータが含まれていない 3 つのファイルの回復の可能性を評価できます。ただし、被害者が第三者 (仲介者) に支援を求めないよう警告され、影響を受けるファイルを変更しないよう警告されている点は注目に値します。これらの警告は、ランサムウェア オペレータが直接通信を重視し、潜在的なデータ回復のために指定されたプロセスを遵守することを強調しています。
専門家はサイバー犯罪者に金銭を渡すことを戒めている
ランサムウェアの脅威によって暗号化されたファイルの復号化には通常、攻撃者の介入が必要となるため、回復は困難なプロセスになります。このルールの例外はまれで、多くの場合、ランサムウェアに重大な欠陥がある場合が含まれます。
身代金の要求に応じた被害者でも、必要な復号キーやツールを持たない可能性があります。この予測不可能性は、サイバー犯罪者が約束を履行する際の信頼性が低いことを強調しており、これらの悪意のある攻撃者からの支払いを行ったり、指示に従ったりしないことを強くお勧めします。このような行為に関与すると、ファイルの回復を保証できないだけでなく、犯罪行為を支援し、永続させることになります。
オペレーティング システムからランサムウェアを削除すると、さらなる暗号化は防止されますが、以前に侵害されたデータは自動的に復元されないことに注意することが重要です。データの安全性を高めるために、コンセントに接続されていないストレージ デバイスやリモート サーバーなど、複数の場所にバックアップを維持することをお勧めします。バックアップ ストレージに対するこの多面的なアプローチは、ランサムウェア攻撃の影響を軽減し、より堅牢なデータ回復戦略を保証するのに役立ちます。
ポップアップ ウィンドウで被害者に表示される身代金メモは次のとおりです。
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.liWe strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.
The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files created by Z1n Ransomware contain the following message:
all your data has been locked us
You want to return?
write email zohodzin@tuta.io or zohodzin@cock.li'
