Zeppelin Ransomware

Повечето автори на ransomware разчитат на вече съществуващи заплахи и просто създават копия от тях с леко променени характеристики. Някои кибер-мошеници обаче предпочитат да създават своите троянски коне за заключване на данни от нулата. Такива киберпрестъпници често са много опитни и висококвалифицирани. Такъв е случаят с Zeppelin Ransomware-наскоро забелязан троянец за шифроване на файлове, който наскоро роуминг в мрежата. След като проучиха заплахата, експертите по зловреден софтуер стигнаха до заключението, че този проект е завършен и силно оръжеен.

Разпространение и криптиране

Не е ясно кои са точните вектори на инфекциите, използвани от авторите на Zeppelin Ransomware. Изследователите на киберсигурността смятат, че е вероятно този гаден троянец да се разпространява чрез имейли, съдържащи прикачени файлове с макроси, фалшиви пиратски медии или софтуер, торент тракери, фалшиви изтегляния и актуализации на приложения и т.н. Ransomware, едно е ясно - неговите автори ще се опитат да изтръгнат колкото се може повече пари от тази кампания. При заразяване на хост, Zeppelin Ransomware ще генерира идентификационен номер на жертвата, който следва определен модел-<3 CHARACTERS>-<3 CHARACTERS>-<3 CHARACTERS>. Това означава, че файл, който може да сте кръстили „sunset-sea.png“, ще бъде преименуван на „sunset-sea.png. <3 CHARACTERS>-<3 CHARACTERS>-<3 CHARACTERS>“, където знаците могат да бъдат числа, както и писма.

Тази седмица в злонамерен софтуер Епизод 23 Част 2: Zeppelin Ransomware се завръща, за да избегне откриването с помощта на нов троянски кон

Бележката за откуп

Когато процесът на шифроване приключи успешно, Zeppelin Ransomware ще пусне съобщение за откуп, което се съдържа във файл, който е или с име „!!! ВСИЧКИ ВАШИ ФАЙЛОВЕ СА КРИПТИРАНИ !!!. Txt 'или' readme.txt. ' В бележката нападателите дават ясно да се разбере, че ако потребителите искат да знаят как да възстановят засегнатите данни, те ще трябва да се свържат с авторите на заплахата неизбежно. Създателите на Zeppelin Ransomware са дали три имейл адреса като средство за връзка с тях - „zeppelin_helper@tuta.io“, „angry_war@protonmail.ch“ и „zeppelindecrypt@420blaze.it“. Освен това, за жертвите, които биха предпочели да комуникират чрез Jabber, данните за контакт на нападателите са „zeppelin_decrypt@xmpp.jp“.

Въпреки че не споменаваме каква е таксата за откуп, можем да ви уверим, че ще трябва да платите солидна сума. Нападателите обаче не са предоставили никакви доказателства, че притежават функциониращ ключ за декриптиране. Дори авторите на ransomware, които са готови да докажат, че имат работещ инструмент за декриптиране, често не го изпращат на жертвите си, дори ако необходимата сума е платена. Ето защо никога не е добра идея да си сътрудничите с киберпрестъпници. Вместо това трябва да помислите за получаване на реномирано антишпионско решение, което да ви помогне да премахнете безопасно този троянец от компютъра си.