科技，房地產和醫療保健公司成為齊柏林飛艇（VegaLocker Ransomware Variant）的受害者

Zeppelin勒索軟件是一種相對較新的惡意軟件威脅，與Jumper（Jamper）和Buran一起屬於VegaLocker勒索軟件家族。它是用Delphi編程語言編寫的，該語言被歸類為“高級”語言。事實證明，Delphi源代碼對逆向工程人員具有很大的挑戰性，這只能使Zeppelin受益。 Zeppelin威脅是Buran威脅的一種變體，特別是因為它們都是RanSware即服務（RaaS）感染。即使您不了解網絡攻擊，RaaS模型也可以使您以系統為目標。這是一種訂閱。您訂閱使用某種RaaS，從而不必自己編寫勒索軟件。相反，您使用別人的威脅。然後，感染帶來的利潤在其創建者和付費使用者之間分配。 Zeppelin RaaS威脅提供的利潤與其前任Buran所獲得的利潤分配相同– 75％的錢用於關聯公司，其餘25％的錢用於勒索軟件運營商。

Zeppelin網絡威脅於2019年11月首次亮相。在不到一個月的時間裡，其目標清單完全由IT和醫療保健行業的公司組成。最近發生的襲擊事件的報導表明，齊柏林飛艇可能也將目光投向了房地產公司。齊柏林飛艇似乎專注於位於美國和歐洲的實體。

Zeppelin提供了RaaS威脅的所有好處。它是高度可配置的，您可以根據自己的喜好對其進行修改-贖金金額，首選目標列表，贖金票據內容，都可以根據自己的喜好進行更改。您還可以選擇如何部署它-.dll或.exe文件，甚至包裝在PowerShell加載器中。一旦做出這些決定，勒索軟件就被部署到系統中，它不僅會進行加密和勒索。它還遵循一系列說明，以及在機器中要做的事情。它終止了各種過程，並著重於與數據庫和備份以及郵件服務器有關的過程。

而且，可執行文件位於混淆的三層之下。 Zeppelin勒索軟件利用混淆以及環境感知技術來成功逃脫基於簽名的端點防禦。這是相當複雜的感染。

Zeppelin混淆字符串的示例。 -來源：Threatvector.Cylance.com

齊柏林飛艇的滲透是什麼？

Zeppelin進入您的計算機後，將其自身安裝到名為“ zeppelin”的臨時文件夾中，在該文件夾中將獲取其名稱。一旦勒索軟件進入您的系統，它就會發出警報。它使用加密算法來加密您的數據。文檔，檔案，照片，視頻，所有這些都被鎖定。如果您希望將其解鎖，則必須遵循勒索軟件的要求。

為了確保對文件的保留，Zeppelin將隨機擴展名附加到PC上的每個擴展名中。每個文件都被重命名並且無法訪問。勒索軟件使用十六進制數字系統。例如，以前稱為“ 1.jpg”的圖片變為“ 1.jpg.126-D7C-E67”。除了3x3擴展名格式外，Zeppelin還可以選擇在每個文件的末尾附加“ .zeppelin”。因此，文件“ 1.jpg”變為“ 1.jpg.zeppelin”。勒索軟件還向鎖定的數據添加文件標記。他們還共享“齊柏林飛艇”的名稱。標記周圍可以有無數的符號，它獲得的符號取決於您使用的十六進制編輯器和字符格式。

Zeppelin一旦掌握了您的文件，就會為您留下帶有需求的文本文件。它被稱為“ ！！！！！！！！！！！！！！！這是贖金記錄，列出了網絡犯罪分子希望您重新獲得對數據的控制權時希望您做的所有事情。

Zeppelin Ransomware的勒索票據圖片以純文本顯示。 -資料來源：i2.wp.com

它包含的消息如下：

勒索軟件聲稱只有唯一的解密密鑰才能解鎖您的文件，如果您希望擁有它，則必須通過電子郵件與數據綁架者聯繫。與您聯繫後，他們會向您提供更詳盡的說明，例如確切的贖金金額，如何將其發送給他們，等等。假定總和保持在三位數或四位數的範圍內，通常期望以比特幣或某種其他類型的數字貨幣（cryptocurrency）付款。

在任何情況下都不應付款！不要忘記您正在處理網絡犯罪分子。這些是惡意的人，他們將自己的方式拖到您的計算機中，鎖定了您的文件，現在勒索您的金錢。不要給這些人任何東西，不要給您時間，精力，最絕對不是您的錢。這將是浪費的精力，因為他們會讓您倍感煩惱。一旦他們收到您的錢，便不再使用您，因此他們繼續尋找下一個受害者。禁止這些惡意勒索者利用您。

齊柏林飛艇的目標清單

贖金信息是英文的，暗示了感染的目標。齊柏林飛艇的主要目標是瞄準美國，歐洲和加拿大的公司。俄羅斯和一系列前蘇聯地區似乎被排除在勒索軟件的目標清單之外。在被排除的國家中，您可以找到烏克蘭，白俄羅斯和哈薩克斯坦。通過四處瀏覽系統，感染可以確認您是在這些國家之一還是其他國家。它檢查Windows中的默認國家代碼或配置的語言。評估後，它就會立即採取行動–發起對計算機的攻擊或退出計算機。

Zeppelin針對您的PC的第一步包括終止基本級別功能。與計算機關聯的服務器以及所有關聯的數據庫最先出現故障。您的備份-不見了。勒索軟件按照程序進行編程，以加密系統啟動文件，Web瀏覽器應用程序，Windows操作系統目錄和用戶文件，從而保留系統功能。它禁用恢復，並儘最大努力破壞計算機。然後是加密，隨後顯示贖金票據和敲詐勒索。

Zeppelin是否正在改變方向以更好地利用新的數據備份策略？

關於Zeppelin勒索軟件的策略轉變已開始出現報導。攻擊後，它沒有對機器的數據進行加密並要求解密，而是嘗試了一種不同的方法。 Zeppelin現在已開始竊取文件以代替鎖定文件。然後他們習慣於迫使您支付數據綁架者的費用。如果這種策略失敗了，黑客的網絡犯罪分子就可以在黑暗的網絡上出售被盜的數據，從而迅速獲利。對於小規模和大批量目標，這都是一種非常有利可圖的賺錢方法。成立之初，齊柏林飛艇主要對來自IT和醫療保健行業的公司發起攻擊 。與家庭用戶相比，這些實體更有可能遵守並支付贖金。這就是為什麼他們是齊柏林飛艇的夢想目標。這種針對大型企業的策略甚至在網絡攻擊文化中也有一個名字-“大獵殺”。

2019年美國勒索軟件攻擊的大規模受害者，資料來源：ninjarmm.com

在公司開始備份數據以確保即使遭受此類攻擊的威脅之後，也不會改變策略，以確保他們不會被迫付款。這就是為什麼像Zeppelin這樣的勒索軟件威脅採用了這種新方法。

齊柏林飛艇如何進入您的機器？

涉及Zeppelin的勒索軟件感染在滲透方面很狡猾。他們足智多謀，設法偷偷摸摸地溜走了您，使您知道他們罷工後的存在。

感染變成了通常的滑稽動作入侵，最好的和最簡單的入侵方法是通過惡意廣告活動。 Zeppelin使用大規模的垃圾郵件電子郵件活動。如果您天真地打開可疑電子郵件並下載其內容，或者單擊他們敦促您訪問的鏈接，則您將陷入勒索軟件的困境。警惕電子郵件，您不知道或不知道其發件人，但感覺有些不對勁。相信自己的直覺，時刻保持警惕。對於發送的電子郵件，大多數黑客使用合法的名稱和徽標。例如，您可能會收到一封聲稱來自PayPal或Amazon的電子郵件。並且，被要求再次填寫您的個人和財務信息以進行“驗證”。或者，電子郵件可能會說條款和條件已更改，如果您想查看如何更改，則必須下載附件。不要因為這種欺騙而倒下。

它還可以採用其他入侵方法。它可以通過託管服務提供商（MSP）進行傳播。勒索軟件攻擊了IT和醫療保健公司，並瞄準了MSP，以試圖進一步擴大感染過程，並通過管理軟件感染客戶。它還可以通過特洛伊木馬，偽造的更新程序或通過免費軟件，損壞的鏈接和站點來搭便車進入您的系統。損壞的種子也可以輕鬆訪問。謹慎對待所有事物，您可能會在遭受天真或缺乏注意力的後果之前發現欺騙。

如果您確實喜歡勒索軟件的欺騙，請打開“官方”，“重要”或“優先”郵件，然後下載附件或單擊鏈接，即可立即下載和安裝惡意軟件。偽造的更新程序也是如此，它們不會安裝更新，而是安裝惡意軟件。損壞的鏈接，站點和免費軟件遵循相同的模式。而且，對於特洛伊木馬來說，它們甚至能夠引起鏈條感染。保持防病毒或反間諜軟件為最新，並在瀏覽Web或瀏覽電子郵件時保持警惕。 不要讓惡意軟件溜走 。

如果您想避免處理勒索軟件的麻煩，請為所有文件創建備份。另外，請注意，在同一台計算機上進行這些備份是徒勞的。您必須將它們放在單獨的設備上，這樣，如果您的PC成為此類惡意攻擊的受害者，則至少應知道文件是安全的。