Che cos'è il ransomware Zeppelin (05.17.24)

Il ransomware Zeppelin è un nuovo ransomware che ha colpito le aziende negli ultimi giorni del 2019. Si dice che sia una variante del famigerato ransomware Vega lockers, tranne per il fatto che invece di prendere di mira i computer in Russia e nell'Europa orientale in generale, lo Zeppelin Il ransomware sembra aver posto molta più enfasi sull'infezione dei sistemi informatici negli Stati Uniti e in Europa.

Ci sono molte speculazioni sul fatto che sebbene il ransomware Zeppelin condivida molte somiglianze con gli armadietti Vega, incluso il suo codice dannoso, sono comunque diversi in quanto sono scritti da team diversi. Il virus Zeppelin, ad esempio, prende di mira le aziende IT e sanitarie in un'altra regione del mondo. Ma proprio come il malware degli armadietti Vega, si ritiene che Zeppelin sia un RaaS (Ransomware-as-a-service) che può essere acquistato sui forum di hacking russi sul dark web.

La modalità d'azione di Zeppelin

Non è esattamente chiaro come il malware Zeppelin sia in grado di infiltrarsi nei sistemi informatici, ma i ricercatori della sicurezza informatica ritengono che il malware venga distribuito tramite un server desktop remoto. È in grado di penetrare nelle reti di computer sfruttando le vulnerabilità nel software installato.

Una volta che il malware si è infiltrato con successo in un computer, controlla i dettagli delle vittime per vedere se sono un obiettivo degno. Se lo sono, lo Zeppelin inizierà il suo regno malevolo terminando la funzione dei server associati ai computer della vittima e ai database associati. Se sono presenti backup di file, vengono presi di mira e resi inaccessibili.

Zeppelin procederà quindi a crittografare tutti i file importanti della vittima e chiederà loro di pagare un riscatto tramite un readme.txt. Il testo inizia dicendo alle vittime che "Tutti i tuoi file, documenti, foto, database e altri file importanti sono crittografati. Esiste un solo metodo per recuperare i file: acquistare una chiave univoca…”

Il messaggio fornisce anche alle vittime un indirizzo e-mail per stabilire un contatto con i criminali informatici dietro l'operazione. Li avverte anche di non tentare di decifrare i file o di cambiare i nomi dei file a causa del presunto rischio di perdere i loro file per sempre.

I ricercatori di sicurezza informatica hanno anche scoperto il generatore di payload Zeppelin, notando che è molto il suo design e consente agli affiliati di Zeppelin di creare diversi tipi di payload a seconda del target previsto. I payload possono essere uno script .exe, .dll o .ps1. Ognuno di questi avvia un diverso tipo di attacco.

Zeppelin Ransomware Removal

Una volta che il tuo computer è stato infettato da ransomware, qualunque esso sia, le tue opzioni saranno sempre limitate. Innanzitutto, non sarebbe saggio da parte tua pagare l'importo del ransomware perché non puoi mai fidarti dei criminali per mantenere la parola data di decrittare i tuoi file in seguito. Per non parlare, dà ai criminali solo più motivazione per andare avanti con i loro modi di ladri perché confidano che qualcuno si separerà dai loro sudati soldi.

Quindi, se non puoi pagare il riscatto, cosa può fai come parte del processo di rimozione del virus Zeppelin?

Modalità provvisoria con rete

La modalità provvisoria è un processo di Windows che ti consente di eseguire il tuo computer in una versione essenziale in cui sono abilitate solo le app e le impostazioni di base. Quando sei in modalità provvisoria con rete, puoi accedere a reimg di rete come Internet e usarli per scaricare potenti soluzioni anti-malware come Outbyte Antivirus. L'anti-malware ti aiuterà a rimuovere tutti i virus che si sono infiltrati nel tuo computer. Tieni presente, tuttavia, che rimuovere il virus non significa che ora recupererai i tuoi file.

Ecco come accedere alla modalità provvisoria con rete su Windows 7, Windows Vista e Windows XP:

  • Riavvia il computer e accendilo immediatamente. Premi F8 ripetutamente a intervalli di 1 secondo.
  • Il computer visualizzerà le informazioni sull'hardware ed eseguirà un test della memoria prima di presentare il menu Opzioni di avvio avanzate.
  • Utilizzare i tasti freccia per selezionare Modalità provvisoria con rete.

    • Modalità provvisoria con rete su Windows 10:

    Per avviare Windows 10 in modalità provvisoria con rete da una schermata vuota, procedi come segue:

  • Tieni premuto il circa 10 secondi per spegnere il computer.
  • Premi di nuovo il pulsante di accensione per accendere il dispositivo.
  • Quando Windows mostra segni di avvio, premi di nuovo il pulsante di accensione per spegnerlo . Continua ad accendere e spegnere il dispositivo finché non raggiungi Ambiente ripristino Windows (winRE).
  • Nella schermata Scegli un'opzione che appare in winRE , seleziona Risoluzione dei problemi > Opzioni avanzate > Impostazioni di avvio > Riavvia.
  • Dopo il riavvio del dispositivo, utilizza i tasti freccia per selezionare Modalità provvisoria con retedall'elenco visualizzato.

    • Ora che hai avviato Windows 10 in modalità provvisoria con rete, puoi utilizzare i reimg di rete per visitare un sito e imparare a gestire vari tipi di minacce malware.

    Ripristino configurazione di sistema

    Ripristino configurazione di sistema è un processo di ripristino di Windows che consente di riportare il computer a uno stato di funzionamento precedente attivando un punto di ripristino. Ripristino configurazione di sistema funzionerà solo se sono già presenti punti di ripristino sul computer.

    Per accedere all'opzione Ripristino configurazione di sistema, seguire i passaggi necessari per avviare il computer in modalità provvisoria con rete. Ma invece di scegliere Impostazioni di avvio, scegli Ripristino configurazione di sistema. Durante il processo di Ripristino configurazione di sistema ti verranno notificate le app e le impostazioni che non saranno più disponibili una volta attivato un punto di ripristino. Assicurati che il virus che intendi rimuovere sia nell'elenco dei programmi interessati.

    Cos'altro puoi fare? Se tutti i tuoi tentativi non riescono a rimuovere il file Zeppelin dal tuo computer, puoi comunque perseguire l'opzione nucleare di ripristinare il tuo computer o installare una nuova versione di Windows.

    In che modo il malware Zeppelin ha infettato il tuo computer?

    Dopo aver subito una terribile catastrofe come un'infezione da parte del malware Zeppelin, è normale che le persone si chiedano in primo luogo come il malware sia riuscito a infiltrarsi nei loro sistemi. Ecco alcuni indizi:

    Sloppy Security

    Hai un antivirus su tutti i tuoi computer? La tua organizzazione utilizza l'autenticazione a due fattori per tutte le applicazioni frontali? Tutti i tuoi sistemi e app, incluso il sistema operativo Windows, sono aggiornati? Hai un backup sicuro dei tuoi file più importanti? Queste sono alcune delle domande che dovresti porti dopo un'infezione. Ti aiuteranno a identificare le aree di debolezza.

    Cattive abitudini di navigazione sul Web

    Se visiti siti sospetti o non protetti, corri il rischio di scaricare malware sul tuo computer. Non devi nemmeno fare clic su un file o qualcosa del genere, a volte il malware si scarica automaticamente.

    Scarsa gestione degli allegati e-mail

    La maggior parte dei malware si diffonde attraverso campagne di phishing che coinvolgono email di spam con link e allegati dannosi. Prima di impegnarti a rispondere a qualsiasi cosa, verifica l'autenticità dell'img.

    Software piratato

    Vogliamo tutti utilizzare materiale gratuito, ma tutto ha un costo. Alcuni dei software gratuiti disponibili su The Pirate Bay e siti simili sono condivisi da criminali informatici che inseriscono abilmente i virus all'interno dei pacchetti software. Può sembrare una cosa intelligente fare affidamento su tali siti per il software libero, ma le conseguenze possono essere disastrose quando colpiscono.

    Video Youtube: Che cos'è il ransomware Zeppelin

    05, 2024