Zeppelin Ransomware

A ransomware legtöbb szerzője a már létező fenyegetésekre támaszkodik, és egyszerűen másolatokat készít azokról, kissé megváltozott tulajdonságokkal. Néhány számítógépes csaló inkább az adatbiztonsági trójaikat a semmiből építteti. Az ilyen számítógépes bűnözők gyakran nagyon tapasztalt és magasan képzettek. Ez a helyzet a Zeppelin Ransomware-vel - egy újonnan észrevehető fájlt titkosító trójaival, amely a közelmúltban barangol az interneten. A fenyegetés tanulmányozása után a rosszindulatú programok szakértői arra a következtetésre jutottak, hogy ez a projekt befejeződött és erősen fegyveres.

Terjesztés és titkosítás

Nem világos, hogy a Zeppelin Ransomware szerzői miként használják a pontos fertőző vektorokat. A kiberbiztonsági kutatók úgy vélik, hogy valószínű, hogy ezt a csúnya trójai e-mailek útján terjesztik makróhoz csatolt mellékleteket, hamis kalóz médiumokat vagy szoftvereket, torrent nyomkövetőket, hamis alkalmazások letöltését és frissítéseit stb., Függetlenül a Zeppelin terjesztésében alkalmazott terjesztési módszertől. A Ransomware esetében egyértelmű: a szerzők megpróbálnak minél több pénzt kinyerni ebből a kampányból. A gazdaszervezet megfertőzésekor a Zeppelin Ransomware áldozati azonosítót generál, amely egy adott mintát követ - <3 karakter> - <3 karakter> - <3 karakter>. Ez azt jelenti, hogy a fájl, amelyet esetleg „sunset-sea.png” -nek neveztek, átnevezi „sunset-sea.png” -re. <3 karakter> - <3 karakter> - <3 karakter> ”, ahol a karakterek számok lehetnek, valamint a levelek.

A Ransom jegyzet

Ha a titkosítási folyamat sikeresen befejeződött, a Zeppelin Ransomware váltságdíjüzenetet küld, amelyet a '!!! vagy' elnevezésű fájl tartalmaz. MINDEN FÁJLAT TISZTÍTETT.. Txt 'vagy' readme.txt. ' A feljegyzésben a támadók világossá teszik, hogy ha a felhasználók tudni akarják, hogyan lehet helyreállítani az érintett adatokat, elkerülhetetlenül kapcsolatba kell lépniük a fenyegetés szerzőivel. A Zeppelin Ransomware alkotói három e-mail címet adtak ki a velük való kapcsolatfelvétel céljából - 'zeppelin_helper@tuta.io', 'angry_war@protonmail.ch' és 'zeppelindecrypt@420blaze.it ". Ezen túlmenően azon áldozatok számára, akik jobban szeretnének kommunikálni a Jabber-en keresztül, a támadók elérhetősége a „zeppelin_decrypt@xmpp.jp”.

Annak ellenére, hogy nem említjük meg a váltságdíjat, biztosíthatjuk Önöket, hogy hatalmas összeget kell fizetnie. A támadók azonban nem nyújtottak be bizonyítékot arra, hogy rendelkeznek-e működő dekódolási kulcsmal. Még azok a szerzők is, akik hajlandóak bizonyítani, hogy rendelkeznek működő visszafejtő eszközzel, gyakran végül nem küldik el az áldozatoknak, még akkor sem, ha a szükséges összeget megfizetik. Ezért soha nem jó ötlet együttműködni a számítógépes bűnözőkkel. Ehelyett érdemes megfontolnia egy jó hírű spyware-ellenes megoldás beszerzését, amely elősegíti a trójai biztonságos eltávolítását a számítógépről.