باج افزار Zeppelin
باج افزار Zeppelin نمونه جدیدی از باج افزارهایی که در حال آلوده سازی سیستم کاربران است و دانستن و شناخت این باج افزار کمک میکند تا از این آلودگی در سازمانهای فناوری و خدمات درمانی در سراسر اروپا و کانادا و … است .
اندکی در باره پیشینه باج افزار Zeppelin :
این باج افزار ابتدا با نام vegalocker فعالیت خورد را شروع کرد . سپس نامش به Buran تغییر پیدا کرد و در می 2019 در فروم های هکری شروع به خرید و فروش این باج افزار کردند . از این باج افزار نسخته های مختلفی منتتشر شده که در حال حاضر آخرین نمونه آن باج افزار Zeppelin است.
تاکنون نحوه ی توزیع این باج افزار دقیقا مشخص نشده ولی احتمالا از طریف سرویس Remote desktop که از طریق اینترنت فراهم شده انتشار یافته است.
عملکرد باج افزار Zeppelin به این صورت است که در ابتدا پایگاه داده ها ، سیستمهای بکاپ گیری ، سرویسهای ایمیل را درگیر میکند و بعد رمزنگاری فایلها (هیچ پسوندی به فایلها اضافه نمیکند ) و مشخصه آن اضافه کردن کلمه Zeppelin در فرمت HEX فایل است .
این بد افزار به زبان دلفی نوشته شده است و کاملا تنظیم پذیر است .
این باج افزار را میتوان شخصی سازی کرد ، این باج افزار به صورت فایلهای DLL و EXE در قالب اسکریپتهای Powershell در سیستم هدف مستقر شود.
ویژگی های باج افزار :
• IP Logger: برای ردیابی موقعیت و آدرس IP قربانیان
• Startup: برای به دست آوردن ماندگاری در سیستم قربانی
• Delete backups: برای متوقف کردن سرویسهای خاص، غیرفعال کردن بازیابی فایلها، حذف بکاپها و shadow copyها و غیره.
• Task-killer: خاتمه دادن پروسسهای مشخص شده توسط مهاجم
• Auto-unlock: برای بازگشایی فایلهایی که حین رمزگذاری قفل شدهاند.
• Melt: برای تزریق thread دارای قابلیت خودحذفی به nodepad.exe
• UAC prompt: تلاش برای اجرای باجافزار با سطح دسترسی بالا
در حال حاضر راهی برای بازیابی فایلهای رمز نشده کشف نشده است و در حال حاضر بهترین راه حل بکاپ گیری منظم از دیتابیس ها و فایلهای اصلی است.
این باج افزار تعداد فایلهای موجود در همه درایوها را محاسبه میکند و سپس اقدام به رمزنگاری آن میکند و برای پنهان کردن از لایه های متعدد و کلید های تصادفی و .. استفاده میکند .
به گفتهی محققان، Zeppelin از ترکیب استانداردی از رمزگذاری متقارن با کلیدهای تصادفی تولید شده برای هر فایل (AES-256 در مُد CBC)، و رمزگذاری نامتقارن برای محافظت از Session key (با استفاده از پیادهسازی خاصی از RSA) استفاده میکند.
هیچ دیدگاهی نوشته نشده است.