Rançongiciel Z1n

Par Mezo en Ransomware

Se traduisent par :

En enquêtant sur les menaces de logiciels malveillants, les chercheurs ont identifié le Z1n Ransomware, mettant ainsi en lumière sa nature malveillante. Z1n fonctionne comme une variante de ransomware, utilisant une technique dans laquelle il crypte les données sur les appareils compromis et demande ensuite une rançon pour le décryptage.

Lors de son exécution sur les appareils ciblés, Z1n crypte les fichiers, les rendant inaccessibles et modifiant leurs noms de fichiers. Les titres des fichiers originaux subissent une transformation, avec un identifiant exclusif attribué à la victime, l'adresse e-mail des attaquants et une extension « .z1n » ajoutée. Par exemple, un fichier initialement nommé « 1.doc » serait transformé en « 1.jpg.id-9ECFA74E.[zohodzin@tuta.io].z1n ».

Suite au processus de cryptage, Z1n génère des demandes de rançon sous la forme d'une fenêtre contextuelle et d'un fichier texte nommé « read.txt ». Notamment, les demandes de rançon délivrées sous forme de fichiers texte sont déposées sur le bureau et dans tous les répertoires cryptés. Une révélation importante des chercheurs est que Z1n est affilié à la famille Dharma Ransomware , ce qui donne un aperçu de sa classification et de son origine.

Table des matières

Le ransomware Z1n peut causer des dommages importants aux appareils infectés

Z1n est identifié comme membre de la famille Dharma Ransomware, qui se distingue en évitant de rendre l'appareil infecté inutilisable par l'omission délibérée du cryptage des fichiers système critiques. Cette approche stratégique vise notamment à garantir que les fonctions essentielles du système ne soient pas affectées, permettant ainsi à l'appareil infecté de rester opérationnel malgré l'activité du ransomware.

En plus de cette caractéristique unique, les variantes de Dharma Ransomware, dont Z1n, présentent un comportement sophistiqué de collecte de données de géolocalisation après l'infiltration. Ces données sont ensuite utilisées pour évaluer la faisabilité du cryptage, en tenant compte notamment du fait d'éviter les machines situées dans des régions économiquement faibles ou dans des pays aux idéologies politiques ou géopolitiques alignées.

Lors de l'infiltration d'un système, ces programmes ransomware désactivent le pare-feu et établissent la persistance via deux mécanismes. Premièrement, en copiant le malware sur le chemin %LOCALAPPDATA% et en l'enregistrant avec des clés d'exécution spécifiques, et deuxièmement, en lançant automatiquement le malware après chaque redémarrage du système.

Le ransomware Dharma, y compris Z1n, utilise une stratégie de cryptage qui englobe à la fois les fichiers locaux et partagés sur le réseau. Pour éviter les exemptions dues aux fichiers considérés comme « en cours d'utilisation », le ransomware met fin aux processus associés aux fichiers ouverts, y compris les programmes de base de données et les lecteurs de fichiers texte.

Une caractéristique notable est l'effort du ransomware pour éviter le double cryptage en suivant une liste d'exclusion pour les données déjà verrouillées par d'autres ransomwares. Cependant, il est reconnu que ce processus n’est pas infaillible, car il peut ne pas couvrir toutes les infections de même nature. Dharma complique encore davantage les options de récupération de données en supprimant les clichés instantanés de volumes, limitant ainsi les possibilités potentielles de restauration de fichiers cryptés.

Les victimes du ransomware Z1n reçoivent des instructions pour effectuer le paiement d’une rançon

Le fichier texte associé au Z1n Ransomware sert de brève communication à la victime, l'informant que ses données ont été verrouillées. Il encourage la victime à établir un contact avec les attaquants pour lancer le processus de récupération. D'un autre côté, le message contextuel accompagnant l'infection par le ransomware fournit des informations plus détaillées. Il mentionne explicitement que les fichiers rendus inaccessibles ont été cryptés. Bien que la note s’abstienne d’indiquer explicitement que le paiement d’une rançon est nécessaire au décryptage, elle implique fortement une telle exigence.

Dans le but de fournir un semblant de garantie de récupération, le message propose un test de décryptage gratuit. Ce test permet à la victime d'évaluer la possibilité de récupération sur trois fichiers, chacun n'excédant pas 5 Mo et dépourvus de données critiques. Il convient toutefois de noter qu'il est déconseillé à la victime de solliciter l'aide de tiers (intermédiaires) et de ne pas apporter de modifications aux fichiers concernés. Ces avertissements soulignent l'accent mis par les opérateurs de ransomware sur la communication directe et le respect de leurs processus spécifiés pour une éventuelle récupération de données.

Les experts déconseillent de donner de l’argent aux cybercriminels

Le décryptage des fichiers cryptés par les menaces de ransomware nécessite généralement l'intervention des attaquants, ce qui rend la récupération un processus difficile. Les exceptions à cette règle sont rares et impliquent souvent des cas où le ransomware présente des défauts importants.

Les victimes qui acceptent les demandes de rançon peuvent toujours se retrouver sans les clés ou outils de décryptage nécessaires. Cette imprévisibilité souligne le manque de fiabilité des cybercriminels dans la tenue de leurs promesses, ce qui fait qu'il est fortement déconseillé d'effectuer des paiements ou de suivre les instructions de ces acteurs malveillants. S'engager dans de telles actions non seulement ne garantit pas la récupération des fichiers, mais soutient et perpétue également l'activité criminelle.

Il est essentiel de noter que même si la suppression des ransomwares du système d’exploitation empêche d’autres cryptages, elle ne restaure pas automatiquement les données précédemment compromises. Pour améliorer la sécurité des données, il est recommandé de conserver des sauvegardes dans plusieurs emplacements, tels que des périphériques de stockage débranchés et des serveurs distants. Cette approche à multiples facettes du stockage de sauvegarde permet d'atténuer l'impact des attaques de ransomwares et garantit une stratégie de récupération de données plus robuste.

La demande de rançon présentée aux victimes dans une fenêtre contextuelle est :

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: zohodzin@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:zohodzin@cock.li

We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.

The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.

-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.

-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.

We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.

Please note that these files should not contain important and critical data.

Demo recovery is intended to demonstrate our skills and capabilities.

---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.

We use advanced technology and techniques to maximize the likelihood of a successful recovery.

---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.

We appreciate your participation and feedback.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files created by Z1n Ransomware contain the following message:

all your data has been locked us

You want to return?

write email zohodzin@tuta.io or zohodzin@cock.li'

Enigma Software Group l'emporte sur Malwarebytes au neuvième circuit

Rechercher

Changer de région

Rançongiciel Z1n

Le ransomware Z1n peut causer des dommages importants aux appareils infectés

Les victimes du ransomware Z1n reçoivent des instructions pour effectuer le paiement d’une rançon

Les experts déconseillent de donner de l’argent aux cybercriminels

Soumettre un Commentaire

Tendance

Wheelsadree.com

NOOSE Ransomware

Cdxx Ransomware

Le plus regardé

Discord affiche un écran noir lors du partage d'écran

Comment corriger l'erreur « Le pilote d'imprimante...

Qu'est-ce que Msedge.exe ?