Zeppelin Ransomware

De meeste auteurs van ransomware vertrouwen op reeds bestaande bedreigingen en maken er eenvoudig kopieën van met enigszins gewijzigde kenmerken. Sommige cyberboeven bouwen echter liever hun Trojaanse paarden met data-vergrendeling. Dergelijke cybercriminelen zijn vaak zeer ervaren en zeer bekwaam. Dit is het geval met de Zeppelin Ransomware - een nieuw gespot bestandscoderend Trojaans paard dat onlangs op internet rondliep. Bij het bestuderen van de dreiging concludeerden malware-experts dat dit project is voltooid en zwaar bewapend.

Voortplanting en versleuteling

Het is niet duidelijk wat de exacte infectievectoren zijn die worden gebruikt door de auteurs van de Zeppelin Ransomware. Cybersecurity-onderzoekers geloven dat het waarschijnlijk is dat deze vervelende Trojan wordt verspreid via e-mails met macro-geregen bijlagen, nep-piraterij media of software, torrent-trackers, nep-applicaties downloads en updates, etc. Ongeacht de propagatiemethode die betrokken is bij de distributie van de Zeppelin Ransomware, één ding is duidelijk - de auteurs zullen proberen zoveel mogelijk geld uit deze campagne te persen. Bij het infecteren van een host, genereert de Zeppelin Ransomware een slachtoffer-ID die een bepaald patroon volgt - <3 KARAKTERS> - <3 KARAKTERS> - <3 KARAKTERS>. Dit betekent dat een bestand met de naam 'sunset-sea.png' zal worden hernoemd naar 'sunset-sea.png. <3 KARAKTERS> - <3 KARAKTERS> - <3 KARAKTERS>' waar de tekens getallen kunnen zijn, evenals letters.

The Ransom Note

Wanneer het coderingsproces met succes is voltooid, laat de Zeppelin Ransomware een losgeldbericht vallen dat zich bevindt in een bestand met de naam '!!! AL UW BESTANDEN WORDEN VERSLEUTELD !!!. Txt 'of' readme.txt. ' In de notitie maken de aanvallers duidelijk dat als de gebruikers willen weten hoe ze de getroffen gegevens kunnen herstellen, ze onvermijdelijk contact moeten opnemen met de auteurs van de dreiging. De makers van de Zeppelin Ransomware hebben drie e-mailadressen uitgegeven om contact met hen op te nemen - 'zeppelin_helper@tuta.io,''gry_war@protonmail.ch 'en' zeppelindecrypt@420blaze.it. ' Voor slachtoffers die liever via Jabber communiceren, zijn de contactgegevens van de aanvallers 'zeppelin_decrypt@xmpp.jp'.

Ondanks dat we niet hebben vermeld wat het losgeld is, kunnen we u verzekeren dat u een flink bedrag moet betalen. De aanvallers hebben echter geen enkel bewijs geleverd dat ze in het bezit zijn van een functionerende decoderingssleutel. Zelfs auteurs van ransomware die bereid zijn te bewijzen dat ze een werkend decryptietool hebben, sturen dit vaak niet naar hun slachtoffers, zelfs als het vereiste bedrag is betaald. Daarom is het nooit een goed idee om samen te werken met cybercriminelen. In plaats daarvan moet u overwegen een betrouwbare anti-spyware-oplossing te kopen die u helpt deze Trojan veilig van uw computer te verwijderen.