Zeppelin Ransomware

Zeppelin Ransomware Beskrivning

De flesta författare till ransomware förlitar sig på redan befintliga hot och skapar helt enkelt kopior av dem med något förändrade egenskaper. Vissa cyberkrokar föredrar dock att bygga sina datalåsande trojaner från början. Sådana cyberbrottslingar är ofta mycket erfarna och mycket skickliga. Detta är fallet med Zeppelin Ransomware - en nyligen upptäckt filkrypterande trojan som har vandrat på webben nyligen. Efter att ha studerat hotet drog sakkunniga om skadlig programvara att detta projekt är slutfört och mycket vapenbaserat.

Förökning och kryptering

Det är inte klart vilka exakta infektionsvektorer som används av författarna till Zeppelin Ransomware. Cybersecurity-forskare tror att det är troligt att denna otäcka trojan sprids via e-postmeddelanden som innehåller makro-snedda bilagor, falska piratkopierade media eller programvara, torrentspårare, falska nedladdningar och uppdateringar av applikationer, oavsett spridningsmetod som är involverad i distributionen av Zeppelin Ransomware, en sak är tydlig - dess författare kommer att försöka pressa ut så mycket pengar som de kan från denna kampanj. Vid infektion av en värd genererar Zeppelin Ransomware ett offer-ID som följer ett visst mönster - <3 KARAKTER> - <3 KARAKTER> - <3 KARAKTER>. Detta innebär att en fil som du kanske har namngivit 'sunset-sea.png' kommer att byta namn till 'sunset-sea.png. <3 CHARACTERS> - <3 CHARACTERS> - <3 CHARACTERS>' där tecknen kan vara siffror, liksom bokstäver.

Ransom Obs

När krypteringsprocessen har avslutats lyckas Zeppelin Ransomware släppa ett lösningsmeddelande som finns i en fil som antingen heter '!!! ALLA FILER KONTROLLERAS !!!. Txt 'eller' readme.txt. ' I anteckningen gör angriparna klart att om användarna vill veta hur de ska återställa de drabbade uppgifterna, måste de komma i kontakt med författarna till hotet oundvikligen. Skaparna av Zeppelin Ransomware har gett ut tre e-postadresser som ett sätt att kontakta dem - 'zeppelin_helper@tuta.io,' 'angry_war@protonmail.ch' och 'zeppelindecrypt@420blaze.it.' För offer som föredrar att kommunicera över Jabber är dessutom kontaktuppgifterna för angriparna 'zeppelin_decrypt@xmpp.jp.'

Trots att vi inte nämner vad lösenavgiften är, kan vi försäkra dig om att du kommer att behöva betala en rejäl summa. Angriparna har dock inte lagt fram något bevis på att de har en fungerande dekrypteringsnyckel. Även författare till ransomware som är villiga att bevisa att de har ett fungerande dekrypteringsverktyg hamnar ofta inte med att skicka det till sina offer, även om det erforderliga beloppet betalas. Det är därför det aldrig är en bra idé att samarbeta med cyberbrottslingar. Istället bör du överväga att få en ansedd anti-spyware-lösning som hjälper dig att ta bort denna Trojan från din dator på ett säkert sätt.