Zeppelin Ransomware

De fleste forfattere av ransomware er avhengige av allerede eksisterende trusler og lager ganske enkelt kopier av dem med litt endrede egenskaper. Noen cyberkrevere foretrekker imidlertid å bygge sine datalåsende trojanere fra bunnen av. Slike nettkriminelle er ofte veldig erfarne og dyktige. Dette er tilfelle av Zeppelin Ransomware - en nylig oppdaget filkrypterende trojan som har streifet rundt på nettet den siste tiden. Da de studerte trusselen, konkluderte malware-eksperter at dette prosjektet er fullført og sterkt våpnet.

Formering og kryptering

Det er ikke klart hva som er de eksakte infeksjonsvektorene som ble brukt av forfatterne av Zeppelin Ransomware. Cybersecurity-forskere mener at det er sannsynlig at denne ekle trojanen spres via e-poster som inneholder makro-snørede vedlegg, falske piratkopierte medier eller programvare, torrent-trackere, falske nedlastinger og oppdateringer av applikasjoner, etc. Uansett forplantningsmetode som er involvert i distribusjonen av Zeppelin Ransomware, en ting er klart - forfatterne vil prøve å skvise ut så mye penger de kan fra denne kampanjen. Ved infeksjon av en vert vil Zeppelin Ransomware generere et offer-ID som følger et bestemt mønster - <3 KARAKTER> - <3 KARAKTER> - <3 KJERAKTER>. Dette betyr at en fil du kanskje har kalt 'sunset-sea.png', vil bli omdøpt til 'sunset-sea.png. <3 CHARACTERS> - <3 CHARACTERS> - <3 CHARACTERS>' der tegnene kan være tall, samt brev.

Ransom-merknaden

Når krypteringsprosessen er fullført, vil Zeppelin Ransomware slippe en løsepengermelding som er inneholdt i en fil som enten heter '!!! ALLE DIN FILER ER BESKRIVET !!!. Txt 'eller' readme.txt. ' I notatet gjør angriperne det klart at hvis brukerne vil vite hvordan de kan gjenopprette de berørte dataene, vil de måtte komme i kontakt med forfatterne av trusselen uunngåelig. Skaperne av Zeppelin Ransomware har gitt ut tre e-postadresser som et middel til å kontakte dem - 'zeppelin_helper@tuta.io,' 'angry_war@protonmail.ch' og 'zeppelindecrypt@420blaze.it.' For ofre som foretrekker å kommunisere over Jabber, er kontaktinformasjonen til angriperne dessuten 'zeppelin_decrypt@xmpp.jp.'

Til tross for at vi ikke har nevnt hva løsepengeravgiften er, kan vi forsikre deg om at du vil bli pålagt å betale en heftig sum. Angriperne har imidlertid ikke gitt noe bevis for at de har en fungerende dekrypteringsnøkkel. Selv forfattere av ransomware som er villige til å bevise at de har et fungerende dekrypteringsverktøy, ender ofte opp med å ikke sende det til ofrene sine, selv om den nødvendige summen er betalt. Dette er grunnen til at det aldri er en god ide å samarbeide med nettkriminelle. I stedet bør du vurdere å skaffe en anerkjent anti-spyware-løsning som vil hjelpe deg med å fjerne denne trojaneren fra datamaskinen din på en trygg måte.