一份关于Zeppelin勒索软件的指南
听说过Zeppelin勒索软件,但不确定是什么?
什么是勒索软件?
“勒索”一词表明它涉及到金钱。勒索软件是指当个人或一群人以某种方式感染他人的数据,以至于受害者无法访问它,除非他们向其支付特定金额。
什么是Zeppelin勒索软件?
这是一种新的ransomware,首次出现在2019年11月初的十天内。
据说它是Vega锁的最新变种。但与前任不同的是,它的目标地区是欧洲和美国。这确实很奇怪。 Vega锁通常以俄罗斯为目标。但是如果Zeppelin发现自己处于俄罗斯或相关地区的系统中,它将停止运行。
所以,俄罗斯人不必担心。
Zeppelin的开发者是谁?
关于开发者正在进行推测。来自Blackberry Cylance的研究人员猜测Zeppelin的开发者可能与Vega锁的开发者不同。他们这样说是因为两者都针对不同的地区。 Zeppelin勒索软件是针对IT和医疗保健公司以及与这些行业有关的个人。
所以,属于这些行业的美国和欧洲人必须警惕勒索软件的威胁。
Zeppelin是如何传递到受害者系统中的?
目前尚不清楚Zeppelin是以何种机制传递给受害者的。但是正在进行推测。据说Zeppelin是通过远程桌面服务器传递的。
Zeppelin的操作方式
首先,会检查受害者的详细信息。如果受害者通过了初始测试,那么进程将继续。初始操作将包括终止与受害者计算机及相关数据库相关的基本级别功能。除此之外,勒索软件还将攻击受害者的备份文件。然后Zeppelin将加密受害者的数据。
Zeppelin做得非常智能。您的当前文件将不会添加扩展名,因为Zeppelin不会创建一个。其次,Zeppelin不会更改您的数据文件的名称。但是您可能会注意到一个带有Zeppelin名称和一些非常不寻常符号的标记。这些符号的格式将高度依赖于用户使用的系统类型。它还依赖于计算机的字符格式。
Zeppelin使用的算法与Vega锁相同。它们为所有加密文件生成密钥。这些密钥将在受害者支付赎金金额后帮助解密数据。
之后,加密的文件将开始显示勒索软件的提示。这些提示通常以“您的文件已被加密”为开头。然后用户将能够查看完整的勒索信息,其中包含有关文件的详细信息以及勒索软件对它们的操作。此提示还包含有关如何联系Zeppelin工作人员的信息。联系信息通常包括电子邮件地址。
除了联系信息,勒索通知还将提到受害者需要支付的赎金金额。在罕见情况下,赎金金额将稍后通知。
Zeppelin勒索软件还将提供免费解密一两个受害者文件的服务。这样做是为了确保受害者的数据确实被勒索软件加密了。
飞艇将加密文件以DLL或Power Shell加载器等任何格式存储。部署的飞艇将销毁用户创建的任何备份。它还将跟踪受害者的IP,从而可以访问受害者的位置。这些格式将使飞艇能够以更高的权限运行软件。如果攻击者或勒索软件正在追求受害者运行的特定任务,飞艇将确保销毁或停止这些任务。飞艇还能够解锁被锁定的文件。
如何保护系统免受飞艇攻击?
您可以采取一些必要的预防措施,避免不必要的飞艇遭遇。
- 首先要做的是制作备份。这一点再强调也不为过。许多人在同一台计算机上创建备份,但那没有用。创建备份并将其保存在不同的位置以确保安全。
- 避免使用远程桌面服务器。确保您在互联网上公开的任何数据都得到安全管理。尽量使用完全可靠的在线服务。
- 在可能的情况下使用多因素身份验证。多因素身份验证将使您能够恢复您的帐户。
- 定期更改密码,以确保您的帐户和数据得到良好保护。
- 为整个公司开发防御系统。妥善管理这些系统以避免任何勒索软件发生。
- 您可以雇请公司或软件来保护您的数据和系统。
- 只应从可信来源打开电子邮件或下载链接。
如果飞艇感染您的系统怎么办?您能恢复数据吗?
研究人员正在寻找飞艇的漏洞,但目前还没有找到任何漏洞。
- 您可以尝试将备份文件恢复到其他计算机上。然后您可以重置系统以摆脱勒索软件。
- 如果您没有备份数据,那么您可以尝试重新启动系统并使用安全联网模式。您可以从命令提示符中启用此模式。然后,您可以尝试登录受感染的帐户并使用反勒索软件恢复数据。
结论
如果当局不能及时应对,飞艇勒索软件可能会成为IT和医疗保健公司的噩梦。这种勒索软件在一个月前才被发现,因此关于它的详细信息还不多。根据最近发生的信息,不付赎金恢复数据相当困难,很少有人可以成功欺骗飞艇。正如人们所说,预防胜于治疗。
因此,可以肯定的是,如果您采取更安全的做法,您可以轻松避免成为这种勒索软件的受害者。