Comments 5
В каждом обработанном каталоге программа-вымогатель создает текстовые файлы
!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT(рис. 5) с требованием выкупа за расшифровку файлов.
я правильно понимаю, что простейшему "антивирусу" надо мониторить текстовые файлы, и выводить предупреждение (блокировать файловую систему, давать команду на выключение и т.д.) о вирусе в системе?
У некоторых антивирусов есть поведенческие правила на "нездоровую" активность в файловой системе. Атаки с Зеппелином не относятся к сложным, тут только шантаж за разблокировку данных, нет схемы двойного-тройного вымогательства. В более сложных атаках, да уже и в более простых нередкость, что шифровальщик размещается в сети жертвы на "выжженную" землю, когда антивирусы и другие средства безопасности снесены. А некоторые атакующие вообще берут отключают хосты от сети :-)
Сколько видел статей по разным программам-вымогателям - и почему-то нигде не освещается самый важный с точки зрения пользователей вопрос: а как эти вредоносы вообще проникают на компьютер жертвы? Каковы механизмы распространения и проникновения?
Почему же!? Если речь идет об конкретной атаке с использование вымогателя, описывают ее киллчейн и TTPs. Атаку проводят конкретные атакующие, партнеры RaaS, все зависит от их квалификации. Есть еще один момент, не все хотят раскрывать подробности атаки, чтобы не раскрыть клиента.
Касательно Зеппелина начальным вектором атаки чаще выступают слабозащищенные внешние сервисы RDP и VPN.
Я - реверсер, поэтому рассказал про саму программу-вымогатель, ее функциональные возможности.
Если Вас интересует этот вопрос более широко, я могу посоветовать книгу своего друга и коллеги, она совсем недавно вышла в русском переводе.
Напоминает мою дипломную работу от 2012 года. 10 лет прошло - ничего не изменилось, даже шифрование до сих пор RC4 используется.
Программа-вымогатель Zeppelin