제플린 랜섬웨어

제플린 랜섬웨어 설명

대부분의 랜섬웨어 작성자는 이미 존재하는 위협에 의존하고 특성이 약간 변경된 복사본을 생성합니다. 그러나 일부 사이버 사기꾼은 데이터 잠금 트로이 목마를 처음부터 구축하는 것을 선호합니다. 이러한 사이버 범죄자는 경험이 풍부하고 숙련된 경우가 많습니다. 최근 웹을 로밍하고 있는 새로 발견된 파일 암호화 트로이 목마인 Zeppelin Ransomware의 경우입니다. 위협을 연구한 후 맬웨어 전문가는 이 프로젝트가 완료되었으며 고도로 무기화되었다고 결론지었습니다.

전파 및 암호화

Zeppelin Ransomware의 작성자가 사용하는 정확한 감염 벡터가 무엇인지는 분명하지 않습니다. 사이버 보안 연구원들은 이 악성 트로이 목마가 매크로로 묶인 첨부 파일, 가짜 해적판 미디어 또는 소프트웨어, 토렌트 추적기, 가짜 애플리케이션 다운로드 및 업데이트 등이 포함된 이메일을 통해 전파될 가능성이 있다고 믿습니다. Zeppelin 배포와 관련된 전파 방법에 관계없이 랜섬웨어, 한 가지 분명한 사실은 랜섬웨어 작성자가 이 캠페인에서 최대한 많은 돈을 짜내려고 한다는 것입니다. 호스트를 감염시키면 Zeppelin Ransomware는 특정 패턴(<3 CHARACTERS>-<3 CHARACTERS>-<3 CHARACTERS>)을 따르는 피해자 ID를 생성합니다. 즉, 'sunset-sea.png'라는 이름의 파일은 'sunset-sea.png.<3 CHARACTERS>-<3 CHARACTERS>-<3 CHARACTERS>'로 이름이 바뀝니다. 여기서 문자는 숫자일 수 있습니다. 뿐만 아니라 편지.


이번 주 맬웨어 에피소드 23 2부: Zeppelin 랜섬웨어, 새로운 트로이 목마를 사용하여 탐지 회피

랜섬노트

암호화 프로세스가 성공적으로 완료되면 Zeppelin Ransomware는 '!!!'라는 이름의 파일에 포함된 몸값 메시지를 삭제합니다. 모든 파일은 !!!.txt' 또는 'readme.txt'로 암호화되어 있습니다. 메모에서 공격자는 사용자가 영향을 받는 데이터를 복구하는 방법을 알고 싶다면 불가피하게 위협의 작성자와 연락해야 한다는 점을 분명히 했습니다. Zeppelin 랜섬웨어의 제작자는 연락 수단으로 'zeppelin_helper@tuta.io', 'angry_war@protonmail.ch' 및 'zeppelindecrypt@420blaze.it'의 세 가지 이메일 주소를 제공했습니다. 또한 Jabber를 통한 통신을 선호하는 피해자의 경우 공격자의 연락처 정보는 'zeppelin_decrypt@xmpp.jp'입니다.

몸값이 얼마인지는 언급하지 않았지만 상당한 금액을 지불해야 함을 보장할 수 있습니다. 그러나 공격자는 작동하는 암호 해독 키를 소유하고 있다는 증거를 제공하지 않았습니다. 작동하는 암호 해독 도구가 있음을 기꺼이 증명하려는 랜섬웨어 작성자라도 필요한 금액을 지불하더라도 피해자에게 보내지 않는 경우가 많습니다. 이것이 사이버 범죄자와 협력하는 것은 결코 좋은 생각이 아닌 이유입니다. 대신 컴퓨터에서 이 트로이 목마를 안전하게 제거하는 데 도움이 되는 평판 좋은 스파이웨어 방지 솔루션을 구하는 것을 고려해야 합니다.