ツェッペリンランサムウェア

ランサムウェアのほとんどの作成者は、既存の脅威に依存しており、わずかに特性が変更されたそれらのコピーを作成するだけです。ただし、一部のサイバー詐欺師は、データをロックするトロイの木馬をゼロから構築することを好みます。このようなサイバー犯罪者は、多くの場合、非常に経験豊富で高度なスキルを備えています。これは、最近Webをローミングしている新たに発見されたファイル暗号化トロイの木馬であるZeppelin Ransomwareの場合です。脅威を調査したところ、マルウェアの専門家は、このプロジェクトは完了しており、高度に武器化されていると結論付けました。

伝播と暗号化

Zeppelin Ransomwareの作成者が利用している正確な感染ベクターが何であるかは明確ではありません。サイバーセキュリティの研究者は、この厄介なトロイの木馬は、マクロ入りの添付ファイル、偽の海賊版メディアまたはソフトウェア、急流トラッカー、偽のアプリケーションのダウンロードおよび更新などを含む電子メールを介して拡散する可能性が高いと考えています。ランサムウェアの1つは明らかです。その作者は、このキャンペーンからできるだけ多くのお金を絞り出そうとします。ホストに感染すると、Zeppelin Ransomwareは特定のパターン-<3 CHARACTERS>-<3 CHARACTERS>-<3 CHARACTERS>に従う被害者IDを生成します。これは、「sunset-sea.png」という名前のファイルの名前が「sunset-sea.png。<3 CHARACTERS>-<3 CHARACTERS>-<3 CHARACTERS>」に変更されることを意味します。同様に手紙。

身代金メモ

暗号化プロセスが正常に完了すると、Zeppelin Ransomwareは、「!!!」という名前のファイルに含まれている身代金メッセージをドロップします。すべてのファイルが暗号化されている!!!。txt」または「readme.txt」。注では、攻撃者は、ユーザーが影響を受けるデータを回復する方法を知りたい場合は、必然的に脅威の作成者と連絡を取る必要があることを明確にします。 Zeppelin Ransomwareの作成者は、連絡方法として「zeppelin_helper@tuta.io」、「angry_war@protonmail.ch」、「zeppelindecrypt@420blaze.it」という3つのメールアドレスを提供しています。さらに、Jabberを介した通信を希望する被害者の場合、攻撃者の連絡先は「zeppelin_decrypt@xmpp.jp」です。

身代金の手数料については言及していませんが、多額の支払いが必要であることを保証できます。ただし、攻撃者は、機能する復号化キーを所有しているという証拠を提供していません。ランサムウェアの作成者でさえ、有効な復号化ツールがあることを証明しようとする場合でも、必要な金額が支払われても、被害者に送信されないことがよくあります。これが、サイバー犯罪者と協力することは決して良い考えではない理由です。代わりに、このトロイの木馬をコンピュータから安全に削除するのに役立つ信頼できるスパイウェア対策ソリューションの入手を検討する必要があります。