Zeppelin Ransomware

Die meisten Autoren von Ransomware stützen sich auf bereits bestehende Bedrohungen und erstellen einfach Kopien mit leicht veränderten Eigenschaften. Einige Cyber-Gauner ziehen es jedoch vor, ihre datenverriegelnden Trojaner von Grund auf neu zu erstellen. Solche Cyberkriminellen sind oft sehr erfahren und hochqualifiziert. Dies ist der Fall bei der Zeppelin Ransomware - einem neu entdeckten Trojaner zur Dateiverschlüsselung, der kürzlich im Web unterwegs war. Bei der Untersuchung der Bedrohung kamen Malware-Experten zu dem Schluss, dass dieses Projekt abgeschlossen und stark bewaffnet ist.

Verbreitung und Verschlüsselung

Es ist nicht klar, welche genauen Infektionsvektoren von den Autoren der Zeppelin Ransomware verwendet werden. Cybersecurity-Forscher halten es für wahrscheinlich, dass dieser böse Trojaner über E-Mails verbreitet wird, die Anhänge mit Makros, gefälschte Raubkopien oder Software, Torrent-Tracker, gefälschte Anwendungsdownloads und -updates usw. enthalten Ransomware, eines ist klar - die Autoren werden versuchen, so viel Geld wie möglich aus dieser Kampagne herauszuholen. Nach der Infektion eines Hosts generiert die Zeppelin Ransomware eine Opfer-ID, die einem bestimmten Muster folgt: <3 CHARACTERS> - <3 CHARACTERS> - <3 CHARACTERS>. Dies bedeutet, dass eine Datei mit dem Namen "sunset-sea.png" in "sunset-sea.png" umbenannt wird. <3 CHARACTERS> - <3 CHARACTERS> - <3 CHARACTERS> 'wobei die Zeichen Zahlen sein können, sowie Briefe.

Der Lösegeldschein

Wenn der Verschlüsselungsprozess erfolgreich abgeschlossen wurde, löscht die Zeppelin Ransomware eine Lösegeldnachricht, die in einer Datei mit dem Namen '!!! ALLE IHRE DATEIEN SIND VERSCHLÜSSELT !!!. Txt 'oder' readme.txt ' In dem Hinweis machen die Angreifer deutlich, dass die Benutzer, wenn sie wissen möchten, wie sie die betroffenen Daten wiederherstellen können, unweigerlich Kontakt mit den Autoren der Bedrohung aufnehmen müssen. Die Entwickler der Zeppelin Ransomware haben drei E-Mail-Adressen zur Kontaktaufnahme angegeben: "zeppelin_helper@tuta.io", "angry_war@protonmail.ch" und "zeppelindecrypt@420blaze.it". Für Opfer, die lieber über Jabber kommunizieren möchten, lauten die Kontaktdaten der Angreifer außerdem "zeppelin_decrypt@xmpp.jp".

Obwohl wir nicht erwähnen, wie hoch die Lösegeldgebühr ist, können wir Ihnen versichern, dass Sie eine hohe Summe bezahlen müssen. Die Angreifer haben jedoch keinen Nachweis erbracht, dass sie über einen funktionsfähigen Entschlüsselungsschlüssel verfügen. Selbst Autoren von Ransomware, die nachweisen möchten, dass ein Entschlüsselungstool funktioniert, senden es häufig nicht an ihre Opfer, selbst wenn der erforderliche Betrag gezahlt wird. Aus diesem Grund ist es niemals eine gute Idee, mit Cyberkriminellen zusammenzuarbeiten. Sie sollten stattdessen in Betracht ziehen, eine seriöse Anti-Spyware-Lösung zu erwerben, mit der Sie diesen Trojaner sicher von Ihrem Computer entfernen können.