科技,房地产和医疗保健公司成为齐柏林飞艇(VegaLocker Ransomware Variant)的受害者
Zeppelin勒索软件是一种相对较新的恶意软件威胁,与Jumper(Jamper)和Buran一起属于VegaLocker勒索软件家族。它是用Delphi编程语言编写的,该语言被归类为“高级”语言。事实证明,Delphi源代码对逆向工程人员来说具有很大的挑战性,这只能使Zeppelin受益。 Zeppelin威胁是Buran威胁的一种变体,特别是因为它们都是RanSware即服务(RaaS)感染。即使您不了解网络攻击,RaaS模型也可以使您以系统为目标。这是一种订阅。您订阅使用某种RaaS,从而不必自己编写勒索软件。相反,您使用别人的威胁。然后,感染带来的利润在其创建者和付费使用者之间分配。 Zeppelin RaaS威胁提供的利润与其前任Buran所获得的利润分配相同– 75%的钱用于关联公司,其余25%的钱用于勒索软件运营商。
齐柏林飞艇网络威胁于2019年11月首次亮相。在不到一个月的时间里,其目标清单完全由IT和医疗保健行业的公司组成。最近发生的袭击事件的报道表明,齐柏林飞艇可能也将目光投向了房地产公司。齐柏林飞艇似乎专注于位于美国和欧洲的实体。
Zeppelin提供了RaaS威胁的所有好处。它是高度可配置的,您可以根据自己的喜好对其进行修改-赎金金额,首选目标列表,赎金票据内容,都可以根据自己的喜好进行更改。您还可以选择如何部署它-作为.dll或.exe文件,甚至包装在PowerShell加载器中。一旦做出这些决定,勒索软件就被部署到系统中,它不仅会进行加密和勒索。它还遵循一系列说明,以及在机器中要做的事情。它终止了各种过程,并着重于与数据库和备份以及邮件服务器有关的过程。
而且,可执行文件位于混淆的三层之下。 Zeppelin勒索软件利用混淆和环境感知技术成功逃脱了基于签名的端点防御。这是相当复杂的感染。
Zeppelin混淆字符串的示例。 -来源:Threatvector.Cylance.com
Table of Contents
齐柏林飞艇的渗透是什么?
Zeppelin进入您的计算机后,将其自身安装到名为“ zeppelin”的临时文件夹中,在该文件夹中将获取其名称。一旦勒索软件进入您的系统,它就会发出警报。它使用加密算法来加密您的数据。文档,档案,照片,视频,所有这些都被锁定。如果您希望将其解锁,则必须遵循勒索软件的要求。
为了确保对文件的保留,Zeppelin将随机扩展名附加到PC上的每个扩展名中。每个文件都被重命名并且无法访问。勒索软件使用十六进制数字系统。例如,以前称为“ 1.jpg”的图片变为“ 1.jpg.126-D7C-E67”。除了3x3扩展名格式外,Zeppelin还可以选择在每个文件的末尾附加“ .zeppelin”。因此,文件“ 1.jpg”变为“ 1.jpg.zeppelin”。勒索软件还向锁定的数据添加文件标记。他们还共享“齐柏林飞艇”的名称。标记周围可以有无数的符号,它获得的符号取决于您使用的十六进制编辑器和字符格式。
Zeppelin一旦掌握了您的文件,就会为您留下带有需求的文本文件。它被称为“ !!!!!!!!!!!!!!!这是赎金记录,列出了网络犯罪分子希望您重新获得对数据的控制权时希望您做的所有事情。
Zeppelin Ransomware的勒索票据图片以纯文本显示。 -资料来源:i2.wp.com
它包含的消息如下:
| !!!您的所有文件都已加密! 您的所有文件,文档,照片,数据库和其他重要文件均已加密。 您无法自行解密!恢复文件的唯一方法是购买唯一的私钥。只有我们才能为您提供此密钥,只有我们才能恢复您的文件。 为确保我们拥有解密程序并且它可以正常工作,您可以发送电子邮件:bad_sysadmin(at)protonmail [。] com并免费解密一个文件。 但是这个文件应该没有价值! 您真的要还原文件吗? 写入电子邮件:bad_sysadmin(at)protonmail [。] com 您的个人ID: 注意! *不要重命名加密文件。 *请勿尝试使用第三方软件解密您的数据,否则可能会导致永久性数据丢失。 *在第三方的帮助下解密您的文件可能会导致价格上涨(它们会增加我们的费用),或者您可能成为骗局的受害者。 |
勒索软件声称只有唯一的解密密钥才能解锁您的文件,如果您希望拥有它,则必须通过电子邮件与数据绑架者联系。与您联系后,他们会向您提供更详尽的说明,例如确切的赎金金额,如何将其发送给他们,等等。假定总和保持在三位数或四位数的范围内,通常期望以比特币或某种其他类型的数字货币(cryptocurrency)付款。
在任何情况下都不应付款!不要忘记您正在处理网络犯罪分子。这些是恶意的人,他们将自己的方式拖到您的计算机中,锁定了您的文件,现在勒索您的金钱。什么都不给这些人,不要给你的时间,不要给你的精力,最绝对不要给你的钱。这将是浪费的精力,因为他们会让您倍感烦恼。一旦他们收到您的钱,便不再使用您,因此他们继续寻找下一个受害者。禁止这些恶意勒索者利用您。
齐柏林飞艇的目标清单
赎金信息是英文的,暗示了感染的目标。齐柏林飞艇的主要目标是瞄准美国,欧洲和加拿大的公司。俄罗斯和一系列前苏联地区似乎被排除在勒索软件的目标清单之外。在被排除的国家中,您可以找到乌克兰,白俄罗斯和哈萨克斯坦。通过四处浏览系统,感染可以确认您是在这些国家之一还是其他国家。它检查Windows中的默认国家代码或配置的语言。评估后,它就会立即采取行动–发起对计算机的攻击或退出计算机。
Zeppelin针对您的PC的第一步包括终止基本级别功能。与计算机关联的服务器以及所有关联的数据库最先出现故障。您的备份-不见了。勒索软件按照程序进行编程,以加密系统启动文件,Web浏览器应用程序,Windows操作系统目录和用户文件,从而保留系统功能。它禁用恢复,并尽最大努力破坏计算机。然后是加密,随后显示赎金票据和敲诈勒索。
Zeppelin是否正在改变方向以更好地利用新的数据备份策略?
关于Zeppelin勒索软件的策略转变已开始出现报道。攻击后,它没有对机器的数据进行加密并要求解密,而是尝试了一种不同的方法。 Zeppelin现在已开始窃取文件以代替锁定文件。然后他们习惯于迫使您支付数据绑架者的费用。如果这种策略失败了,黑客的网络犯罪分子就可以在黑暗的网络上出售被盗的数据,从而迅速获利。对于小规模和大批量目标,这都是一种非常有利可图的赚钱方法。成立之初,齐柏林飞艇主要对IT和医疗保健行业的公司发起攻击 。与家庭用户相比,这些实体更有可能遵守并支付赎金。这就是为什么他们是齐柏林飞艇的梦想目标。这种针对大型企业的策略甚至在网络攻击文化中也有一个名字-“大猎杀”。
2019年美国勒索软件攻击的大规模受害者,资料来源:ninjarmm.com
在公司开始备份数据以确保即使遭受此类攻击的威胁之后,也不会改变策略,以确保他们不会被迫付款。这就是为什么像Zeppelin这样的勒索软件威胁采用了这种新方法。
齐柏林飞艇如何进入您的机器?
涉及Zeppelin的勒索软件感染在渗透方面很狡猾。他们足智多谋,并设法偷偷摸摸地溜走了您,使您知道他们罢工后的存在。
感染变成了通常的滑稽动作入侵,最好的和最简单的入侵方法是通过恶意广告活动。 Zeppelin使用大规模的垃圾邮件电子邮件活动。如果您不够天真地打开可疑电子邮件并下载其内容,或者单击他们催促您单击的链接,则您将陷入勒索软件的困境。警惕电子邮件,您不知道或不知道其发件人,但感觉有些不对劲。相信自己的直觉,时刻保持警惕。对于发送的电子邮件,大多数黑客使用合法的名称和徽标。例如,您可能会收到一封声称来自PayPal或Amazon的电子邮件。并且,被要求再次填写您的个人和财务信息以进行“验证”。或者,电子邮件可能会说条款和条件已更改,如果您想查看如何更改,则必须下载附件。不要因为这种欺骗而倒下。
它还可以采用其他入侵方法。它可以通过托管服务提供商(MSP)进行传播。勒索软件攻击了IT和医疗保健公司,并瞄准了MSP,以试图进一步扩大感染过程,并通过管理软件感染客户。它还可以通过特洛伊木马,伪造的更新程序或通过免费软件,损坏的链接和站点来搭便车进入您的系统。损坏的种子也可以轻松访问。谨慎对待所有事物,您可能会在遭受天真或缺乏注意力的后果之前发现欺骗。
如果您确实喜欢勒索软件的欺骗,请打开“官方”,“重要”或“优先”邮件,然后下载附件或单击链接,即可立即下载和安装恶意软件。伪造的更新程序也是如此,它们不会安装更新,而是安装恶意软件。损坏的链接,站点和免费软件遵循相同的模式。而且,对于特洛伊木马来说,它们甚至能够引起链条感染。保持防病毒或反间谍软件为最新,并在浏览Web或浏览电子邮件时保持警惕。 不要让恶意软件溜走 。
如果您想避免处理勒索软件的麻烦,请为所有文件创建备份。另外,请注意,在同一台计算机上进行这些备份是徒劳的。您必须将它们放在单独的设备上,这样,如果您的PC成为此类恶意攻击的受害者,则至少应知道文件是安全的。
