Zeppelin

Zeppelin Ransomware

Buran-Zeppelin Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для защиты закрытого ключа, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Zeppelin. Написан на Delphi. 
---
Обнаружения:
DrWeb -> DLOADER.Trojan, Trojan.Encoder.25574, Trojan.Encoder.30393
BitDefender -> Trojan.GenericKD.42071109, Generic.Ransom.Buhtrap.***
Malwarebytes -> Ransom.Buran
McAfee -> RDN/Generic.grp, GenericRXJE-WA!FEE6BA9A0D7A
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:Win32/Zeppelin.A!MSR
ESET-NOD32 -> A Variant Of Win32/Filecoder.Buran.H
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
---

© Генеалогия: Buran > Zeppelin (Buran V)

Изображение — логотип статьи

 

Эти символы ³ZEPPELIN³ добавляются в код зашифрованных файлов (в начало) как файловый маркер. Стилизованное изображение под дирижабль Zeppelin.

К зашифрованным файлам добавляется расширение в формате 3х3, например, как в тексте записки: .126-A9A-0E9 или .244-A80-137

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину ноября 2019 г. (штамп времени: 6 ноября 2019) и продолжилась в декабре 2019 и позже, в 2020-2021 г. Ориентирован на англоязычных и иноязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: readme.txt
Другой вариант: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

 

Так это выглядит при открытии файла в Блокноте. 

 

Так это выглядит при открытии файла в браузере Google Chrome. 


Содержание записки о выкупе:
                                       ---=== Welcome. Again. ===---
                                        [+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your computer has extension 126-A9A-0E9
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
                                        [+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.To be sure we have the decryptor and it works you can send an email: zeppelindecrypt@420blaze.it and decrypt one file for free.
But this file should be of not valuable!
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
Write to email: zeppelindecrypt@420blaze.it
Reserved email: zeppelin_helper@tuta.io
Reserved jabber: zeppelin_decrypt@xmpp.jp
Your personal ID: 126-A9A-0E9
                                       !!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!

Перевод записки на русский язык:
                                        ---=== Добро пожаловать. Снова. ===---
                                        [+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение 126-A9A-0E9
Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
                                        [+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в наших интересах. Чтобы убедиться, что у нас есть расшифровщик, и он работает, вы можете написать на email zeppelindecrypt@420blaze.it и дешифровать один файл бесплатно.
Но этот файл не должен быть ценным!
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
Написать на email: zeppelindecrypt@420blaze.it
Резервный адрес email: zeppelin_helper@tuta.io
Резервный jabber: zeppelin_decrypt@xmpp.jp
Ваш личный ID: 126-A9A-0E9
                                       !!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменить файлы самостоятельно, НЕ используйте любую  стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение личного ключа и, как следствие, потерю всех данных.
!!! !!! !!!
ЕЩЕ РАЗ: В ваших интересах вернуть ваши файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но, пожалуйста, не нужно мешать.
!!! !!! !!!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ При первом запуске Zeppelin Ransomware проверяет код страны жертвы, чтобы убедиться, что компьютер не находится в одной из следующих стран:

Россия

Украина

Белоруссия

Казахстан

С этой целью он проверяет язык ОС компьютера, установленный по умолчанию, телефонный код страны по умолчанию, или использует онлайн-сервисы для получения внешнего IP-адреса жертвы. 

Использует следующие сайты для определения IP и страны компьютера: 
iplogger.org
geoiptool.com

➤ Zeppelin Ransomware создает в каталоге %TEMP% пустой файл с расширением “.zeppelin” и именем, которое представляет собой хэш CRC32 пути вредоносной программы.

Если установлен параметр “Startup”, вредонос копирует себя в каталог %APPDATA%\Roaming\Microsoft\Windows, используя случайно выбранное из списка активных процессов имя (игнорируя любые процессы, которые были вызваны с помощью аргументов командной строки “install” и “setup”).

Выбранное имя затем шифруется с помощью случайно сгенерированного 32-байтового ключа RC4, кодированного в base64 (вместе с добавленным ключом) и сохраняется в значение реестра с названием “Process” под HKCU\Software\Zeppelin.

После закрепления в системе с помощью ключа реестра  HKCU\Software\Microsoft\Windows\CurrentVersion\Run программа-вымогатель повторно запустит себя с нового пути с аргументом “-start”. Если установлен параметр “UAC prompt”, он попытается запуститься с повышенными привилегиями.

Если установлен параметр “Melt”, поток самоудаления будет внедрен во вновь созданный процесс notepad.exe, и вредонос завершится с кодом 0xDEADFACE. Иначе он завершится с кодом 0. 

➤ Zeppelin Ransomware использует следующий набор комнад для остановки процессов программ безопасности, резервного копирования, баз данных, для удаления теневых копий файлов, отключения функций восстановления и исправления Windows на этапе загрузки, для очистки системных журналов: 

net stop "Acronis VSS Provider" /y

net stop "Enterprise Client Service" /y

net stop "SQL Backups" /y

net stop "SQLsafe Backup Service" /y

net stop "SQLsafe Filter Service" /y

net stop "Sophos Agent" /y

net stop "Sophos AutoUpdate Service" /y

net stop "Sophos Clean Service" /y

net stop "Sophos Device Control Service" /y

net stop "Sophos File Scanner Service" /y

net stop "Sophos Health Service" /y

net stop "Sophos MCS Agent" /y

net stop "Sophos MCS Client" /y

net stop "Sophos Message Router" /y

net stop "Sophos Safestore Service" /y

net stop "Sophos System Protection Service" /y

net stop "Sophos Web Control Service" /y

net stop "Symantec System Recovery" /y

net stop "Veeam Backup Catalog Data Service" /y

net stop "Zoolz 2 Service" /y

net stop ARSM /y

net stop AVP /y

net stop AcrSch2Svc /y

net stop AcronisAgent /y

net stop Antivirus /y

net stop BackupExecAgentAccelerator /y

net stop BackupExecAgentBrowser /y

net stop BackupExecDeviceMediaService /y

net stop BackupExecJobEngine /y

net stop BackupExecManagementService /y

net stop BackupExecRPCService /y

net stop BackupExecVSSProvider /y

net stop DCAgent /y

net stop EPSecurityService /y

net stop EPUpdateService /y

net stop ESHASRV /y

net stop EhttpSrv /y

net stop EraserSvc11710 /y

net stop EsgShKernel /y

net stop FA_Scheduler /y

net stop IISAdmin /y

net stop IMAP4Svc /y

net stop KAVFS /y

net stop KAVFSGT /y

net stop MBAMService /y

net stop MBEndpointAgent /y

net stop MMS /y

net stop MSExchangeES /y

net stop MSExchangeIS /y

net stop MSExchangeMGMT /y

net stop MSExchangeMTA /y

net stop MSExchangeSA /y

net stop MSExchangeSRS /y

net stop MSOLAP$SQL_2008 /y

net stop MSOLAP$SYSTEM_BGC /y

net stop MSOLAP$TPS /y

net stop MSOLAP$TPSAMA /y

net stop MSSQL$BKUPEXEC /y

net stop MSSQL$ECWDB2 /y

net stop MSSQL$PRACTICEMGT /y

net stop MSSQL$PRACTTICEBGC /y

net stop MSSQL$PROD /y

net stop MSSQL$PROFXENGAGEMENT /y

net stop MSSQL$SBSMONITORING /y

net stop MSSQL$SHAREPOINT /y

net stop MSSQL$SOPHOS /y

net stop MSSQL$SQLEXPRESS /y

net stop MSSQL$SQL_2008 /y

net stop MSSQL$SYSTEM_BGC /y

net stop MSSQL$TPS /y

net stop MSSQL$TPSAMA /y

net stop MSSQL$VEEAMSQL2008R2 /y

net stop MSSQL$VEEAMSQL2008R2 /y

net stop MSSQL$VEEAMSQL2012 /y

net stop MSSQLFDLauncher /y

net stop MSSQLFDLauncher$PROFXENGAGEMENT /y

net stop MSSQLFDLauncher$SBSMONITORING /y

net stop MSSQLFDLauncher$SHAREPOINT /y

net stop MSSQLFDLauncher$SQL_2008 /y

net stop MSSQLFDLauncher$SYSTEM_BGC /y

net stop MSSQLFDLauncher$TPS /y

net stop MSSQLFDLauncher$TPSAMA /y

net stop MSSQLSERVER /y

net stop MSSQLServerADHelper /y

net stop MSSQLServerADHelper100 /y

net stop MSSQLServerOLAPService /y

net stop McAfeeEngineService /y

net stop McAfeeFramework /y

net stop McAfeeFrameworkMcAfeeFramework /y

net stop McShield /y

net stop McTaskManager /y

net stop MsDtsServer /y

net stop MsDtsServer100 /y

net stop MsDtsServer110 /y

net stop MySQL57 /y

net stop MySQL80 /y

net stop NetMsmqActivator /y

net stop OracleClientCache80 /y

net stop PDVFSService /y

net stop POP3Svc /y

net stop RESvc /y

net stop ReportServer /y

net stop ReportServer$SQL_2008 /y

net stop ReportServer$SYSTEM_BGC /y

net stop ReportServer$TPS /y

net stop ReportServer$TPSAMA /y

net stop SAVAdminService /y

net stop SAVService /y

net stop SDRSVC /y

net stop SMTPSvc /y

net stop SNAC /y

net stop SQLAgent$BKUPEXEC /y

net stop SQLAgent$CITRIX_METAFRAME /y

net stop SQLAgent$CXDB /y

net stop SQLAgent$ECWDB2 /y

net stop SQLAgent$PRACTTICEBGC /y

net stop SQLAgent$PRACTTICEMGT /y

net stop SQLAgent$PROD /y

net stop SQLAgent$PROFXENGAGEMENT /y

net stop SQLAgent$SBSMONITORING /y

net stop SQLAgent$SHAREPOINT /y

net stop SQLAgent$SOPHOS /y

net stop SQLAgent$SQLEXPRESS /y

net stop SQLAgent$SQL_2008 /y

net stop SQLAgent$SYSTEM_BGC /y

net stop SQLAgent$TPS /y

net stop SQLAgent$TPSAMA /y

net stop SQLAgent$VEEAMSQL2008R2 /y

net stop SQLAgent$VEEAMSQL2008R2 /y

net stop SQLAgent$VEEAMSQL2012 /y

net stop SQLBrowser /y

net stop SQLSERVERAGENT /y

net stop SQLSafeOLRService /y

net stop SQLTELEMETRY /y

net stop SQLTELEMETRY$ECWDB2 /y

net stop SQLWriter /y

net stop SamSs /y

net stop SepMasterService /y

net stop ShMonitor /y

net stop SmcService /y

net stop Smcinst /y

net stop SntpService /y

net stop SstpSvc /y

net stop TmCCSF /y

net stop TrueKey /y

net stop TrueKeyScheduler /y

net stop TrueKeyServiceHelper /y

net stop UI0Detect /y

net stop VeeamBackupSvc /y

net stop VeeamBrokerSvc /y

net stop VeeamCatalogSvc /y

net stop VeeamCloudSvc /y

net stop VeeamDeploySvc /y

net stop VeeamDeploymentService /y

net stop VeeamEnterpriseManagerSvc /y

net stop VeeamHvIntegrationSvc /y

net stop VeeamMountSvc /y

net stop VeeamNFSSvc /y

net stop VeeamRESTSvc /y

net stop VeeamTransportSvc /y

net stop W3Svc /y

net stop WRSVC /y

net stop bedbg /y

net stop ekrn /y

net stop kavfsslp /y

net stop klnagent /y

net stop macmnsvc /y

net stop masvc /y

net stop mfefire /y

net stop mfemms /y

net stop mfevtp /y

net stop mozyprobackup /y

net stop msftesql$PROD /y

net stop ntrtscan /y

net stop sacsvr /y

net stop sophossps /y

net stop svcGenericHost /y

net stop swi_filter /y

net stop swi_service /y

net stop swi_update /y

net stop swi_update_64 /y

net stop tmlisten /y

net stop wbengine /y

net stop wbengine /y

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

wbadmin delete catalog -quiet

wbadmin delete systemstatebackup

wbadmin delete systemstatebackup -keepversions:0

wbadmin delete backup

wmic shadowcopy delete

vssadmin delete shadows /all /quiet

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

attrib "%userprofile%\documents\Default.rdp" -s -h

del "%userprofile%\documents\Default.rdp"

wevtutil.exe clear-log Application

wevtutil.exe clear-log Security

wevtutil.exe clear-log System

sc config eventlog start=disabled

Список завершаемых процессов:

agntsvc.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, agntsvc.exeisqlplussvc.exe, anvir.exe, anvir64.exe, apache.exe, backup.exe, ccleaner.exe, ccleaner64.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, far.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, kingdee.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld-nt.exe, mysqld-opt.exe, mysqld.exe, ncsvc.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, oracle.exe, oracle.exe, procexp.exe, regedit.exe, sqbcoreservice.exe, sql.exe, sqlagent.exe, sqlbrowser.exe, sqlserver.exe, sqlservr.exe, sqlwriter.exe, synctime.exe, taskkill.exe, tasklist.exe, taskmgr.exe, tbirdconfig.exe, tomcat.exe, tomcat6.exe, u8.exe, ufida.exe, visio.exe, xfssvccon.exe

Список файловых расширений, подвергающихся шифрованию:
Популярные типы расширений, кроме тех, что находятся в списках  игнорируемых. 

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список игнорируемых расширений:

.bat, .cmd, .com, .cpl, .dll, .msc, .msp, .pif, .scr, .sys, .log, .lnk, .zeppelin

Список игнорируемых директорий:

\Windows\ 

\Windows.old\ 

\$Windows.~bt\ 

\System Volume Information\ 

\intel\ 

\nvidia\ 

\inetpub\logs\

\All Users\ 

\AppData\ 

\Apple Computer\Safari\ 

\Application Data\ 

\Boot\ 

\Google\ 

\Google\Chrome\ 

\Mozilla Firefox\ 

\Mozilla\ 

\Opera Software\ 

\Opera\ 

\Tor Browser\ 

\Common Files\ 

\Internet Explorer\ 

\Windows Defender\ 

\Windows Mail\ 

\Windows Media Player\ 

\Windows Multimedia Platform\ 

\Windows NT\ 

\Windows Photo Viewer\ 

\Windows Portable Devices\ 

\WindowsPowerShell\ 

\Windows Photo Viewer\ 

\Windows Security\ 

\Embedded Lockdown Manager\ 

\Windows Journal\ 

\MSBuild\ 

\Reference Assemblies\ 

\Windows Sidebar\ 

\Windows Defender Advanced Threat Protection\ 

\Microsoft\ 

\Package Cache\ 

\Microsoft Help\ 

Список пропускаемых файлов:
boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntdetect.com, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db

Файлы, связанные с этим Ransomware:
readme.txt
svchost.exe
<random>.exe - случайное название вредоносного файла
1767D234-B440-8A0A-8098-4692C8B2B5A8_unlocker.exe

Расположения:
C:\.zeppelin
C:\Users\.zeppelin  и другие
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
\USER\S-*\Software\Buran V\Stop
HKEY_CURRENT_USER\Software\Zeppelin
HKEY_CURRENT_USER\Software\Zeppelin\Keys
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Encrypted Private Key
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Public Key
HKEY_CURRENT_USER\Software\Zeppelin\Knock
HKEY_CURRENT_USER\Software\Zeppelin\Paths
HKEY_CURRENT_USER\Software\Zeppelin\Paths\0
HKEY_CURRENT_USER\Software\Zeppelin\Stop
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: zeppelindecrypt@420blaze.it, zeppelin_helper@tuta.io
Jabber: zeppelin_decrypt@xmpp.jp
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>

𝚺  VirusTotal analysis >>  VT> VT> VT> VT>
𝚺  VirusTotal analysis (decryptor) >> 
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== === RANSOMWARE BUILDER ===

Здесь мы можем видеть, что название записки можно менять. 
На скриншоте это !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
Buran-Storm Ransomware - июнь, сентябрь 2019
Zeppelin Ransomware - декабрь 2019 -> апрель 2020 -> 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 ноября 2019:
Сообщение >>
Расширение (пример): .BB4-230-123
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: buratino@firemail.cc, buratino2@tutanota.com, buratin@torbox3uiot6wchz.onion
Результаты анализов: VT + IA

➤ Содержание записки о выкупе:
Need decrypt your data?
Write on e-mail:
buratino@firemail.cc
Your personal ID:
BB4-232-232
Additional e-mails:
buratino2@tutanota.com
buratin@torbox3uiot6wchz.onion (access only from tor)

Вариант от 8-9 декабря 2019:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX
Пример расширения: .276-A80-137
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: angry_war@protonmail.ch
Результаты анализов: VT + VMR

Вариант от 11-12 декабря 2019:
Статья на сайте Cylance >>
Статья на сайте BC >>


Вариант от 19 декабря 2019:
Сообщение >>
Email: cheet0s_de@protonmail.com, Pringls_us@protonmail.com 
Файл: LilDroidSoftwareload.exe

 

URL (временный): hxxxs://anonfiles.com/ZbSdO8G0nc/bb_zip
AZORult может украсть криптовалюту и банковскую информацию, включая пароли и данные кредитной карты. Это регулярно обновляемое вредоносное ПО для кражи информации продолжает оставаться активной угрозой.
Результаты анализов на zip-архив: VT + AR + HA

➤ Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: cheet0s_de@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: cheet0s_de@protonmail.com 
Reserved email: Pringls_us@protonmail.com 
Your personal ID: 775-43E-***
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 19 декабря 2019:
Сообщение >>
Расширение (шаблон): .zeppelin и .XXX-XXX-XXX

Пример расширения: .781-1F7-E11
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: helpservis@horsefucker.org
Результаты анализов: VT + AR + VMR

➤ Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: helpservis@horsefucker.org and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: helpservis@horsefucker.org
Your personal ID: 781-1F7-E11
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Вариант от 19-24 декабря 2019:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Пример расширения: .F3D-0BB-E7E
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Результаты анализов: VT + VT


Вариант от 22 декабря 2019:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Файлы: LilDroidSofwareload.exe, zaebalsiarealy.exe

=== 2020 ===

Вариант от 9 января 2020:
Сообщение >>
Расширение: .XXX-XXX-XXX и .zeppelin
Email: ret3pwn@gmail.com
Записка (на турецком языке): !!! CONTACT !!!.TXT
Результаты анализов: VT + HA + IA + AR + AR

➤ Содержание записки: 
contact addres : ret3pwn@gmail.com
ip numaraniz : { google.com da ip goster yazip sitelerden ögrenebilirsiniz }
senin kodun : tXZ01
verileriniz sifrelendi verilerinizin cozulmesini hacklendigi gunki haline
donmesini istiyorsaniz bize ulasin verilerinizi cozmeniz konusunda yardim edelim
1- nasil hacklendiginizi öğreneceksiniz
2- tekrar hacklenmemek icin bizden oneriler ve yardimlar alacaksin
3- sifrelenen verilerin acilicek sistemin eski haline gelicek
4- guvenli ve cok saglam bir sistem kurman icin bilgiler öneriler vereceğiz
5- daha once bizim tarafimizdan hacklenmis yardim gormus verisi acilmis
bir firma ile gorusturecegiz. goruşmeden once ciddi oldugunuzu bilmemiz icin
size teklif edilen odemeyi hazirlamis olmaniz gerekir. odeme yolu ve bilgisi
mail ile verilicektir
not : verinizi acamayacagimizdan suphe duyarsaniz sizin için önemi olmayan
ama cozebilecegimizi gosteren basit bir dosya yollayabilirsiniz
mail ile istediklerimiz
1- ip numaraniz
2- senin kodun
3- cozmemizi isterseniz ornek bir dosya


Вариант от 9 января 2020:
Сообщение >>
Расширение: .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!
Email: cheot0s_de@protonmail.com
Pringls_us@protonmail.com
➤ Содержание записки: 
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to p***
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: cheot0s_de@protonmail.com
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: cheot0s_de@protonmail.com
'Reserved email: Pringls_us@protonmail.com
Your personal ID: xxx-xxx-xxx
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent***
• Decryption of your files with the help of third parties may cause increased price***


Вариант от 21 января 2020:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: puljaipopre1981@protonmail.com, viomukinam1978@protonmail.com
Результаты анализов: VT + VMR + IA / VT + VMR

Вариант от 9 февраля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Пример расширения: .2BF-510-92E
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: onlinebigbrotheriswatchingyou@protonmail.com
onlinebigbrotheriswatchingyou@tutanota.com

➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: onlinebigbrotheriswatchingyou@protonmail.com or onlinebigbrotheriswatchingyou@tutanota.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: onlinebigbrotheriswatchingyou@protonmail.com
Reserved email: onlinebigbrotheriswatchingyou@tutanota.com
Your personal ID: 2BF-515-95E
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our).
To avoid getting your computer infected AGAIN  you should be very careful when downloading software - the only safe place to download applications is their developer website or official app store. Be very careful when opening attachments in your email inbox - even legitimate looking emails can be a part of social engineering created by BIG BROTHER. You are advised keep your  operating system and installed software up-to-date. Use legitimate antivirus and anti-spyware programs and do not click on links or open email attachments from untrusted sources. Avoid visiting pornographic websites and do not download files from P2P  services such as torrents and never use software cracks or game cheats - these are very common places where cyber criminals distribute their malicious software.


Вариант от 20 февраля 2020:
Сообщение >>
Enail: msupport2019@protonmail.com, msupport@elude.in
Файл: Aksip.exe
Результаты анализов: VT + VMR
Обнаружения: 
DrWeb -> Trojan.Encoder.31068
BitDefender -> Trojan.GenericKD.33337236
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZWI
McAfee -> Trojan-FRUJ!61506482DDD2
TrendMicro -> Trojan.Win32.MALREP.THBBDBO
Symantec -> Trojan.Gen.2

Вариант от 21 февраля 2020:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: sambrero@tfwno.gf, dupsano@cock.lu
Записка: Warning!.txt

Как и прежде добавляет ³ZEPPELIN³ в начало зашифрованного файла.
Раздел реестра не изменился: HKEY_CURRENT_USER\Software\Zeppelin
Результаты анализов: VT + IA
Обнаружения: 
DrWb -> Trojan.Encoder.25574
BitDefender -> Trojan.GenericKD.33349310
ESET-NOD32 -> Win32/Filecoder.Buran.H
Malwarebytes -> Backdoor.XTRat
Microsoft -> Ransom:Win32/Zeppelin.B!MSR
TrendMicro -> Ransom_Zeppelin.R011C0DBN20


Вариант от 6 апреля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: MattCohn@tutanota.com, BruceCohn88@protonmail.com 
➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: MattCohn@tutanota.com  and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: MattCohn@tutanota.com
Reserved email: BruceCohn88@protonmail.com
Your personal ID: E69-CE5-209
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 12 апреля 2020:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: unlocking2020@protonmail.ch, burlocker2020@tuta.io
Записка: Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Результаты анализов: VT 

 

Вариант от 14 апреля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: unlocking2020@protonmail.ch, burlocker2020@tuta.io
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: runlocker@protonmail.com, ranlock@keemail.me 
Результаты анализов: VT 
➤ Содержание записки: 
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: runlocker@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: runlocker@protonmail.com
Reserved email: ranlock@keemail.me 
Your personal ID: 145-XXX-XXX
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 29 мая 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX
Записка: RECOVERY DATA INFORMATION.TXT
Email: cluff_sarah@aol.com

➤ Содержание записки: 
Hello!
If you see this message - this means your files are now encrypted and are in a non-working state!  Now only we can help you recover.
If you are ready to restore the work - send us an email to the address cluff_sarah@aol.com  In the letter, specify your personal identifier, which you will see below.  In the reply letter we will inform you the cost of decrypting your files.
Also from your servers, files were downloaded to our cloud storage, such as:
Documents, accounting and tax reporting files, scanned copies of passports, driver's licenses of SQL, MySQL database, database with financial information ...
After we agree, you will receive a decryption program,  as well as all your files on our server will be deleted.
Otherwise, they will fall into the open access of the Internet!
Before payment you can send us 1-2 files for test decryption.  We will decrypt the files you requested and send you back.  This ensures that we own the key to recover your data.  The total file size should be no more than     3 MB, the files should not contain valuable information (databases, backups, large Excel spreadsheets ...).
Please be sure that we will find common languge. We will restore all the data.
Email to contact us - cluff_sarah@aol.com
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
Your personal ID: 2AC-EFF-XXX


Вариант от 22 июля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX
Email: restmefast@tutanota.com
➤ Содержание записки: 
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: restmefast@tutanota.com  and decrypt one file for free.
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 22 июля 2020:
Топик на форуме >>
Расширение (шаблон): .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!
Email: helpservise@mail2tor.com
helpservise@ctemplar.com
recovery2020@cock.li
➤ Содержание записки: 
!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: helpservise@mail2tor.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: helpservise@mail2tor.com
Reserved email: helpservise@ctemplar.com
Reserved email2: recovery2020@cock.li
Your personal ID: 20D-977-***
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Вариант от 7 сентября 2020:
Топик на форуме >>
Email: yesbay@protonmail.com
➤ Содержание записки о выкупе: 
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: yesbay@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: yesbay@protonmail.com
Your personal ID: AFA-XXX-XXX
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Вариант от 8 ноября 2020:

Сообщение >>

Результаты анализов: VT + IA

Вариант от 4 декабря 2020:

Сообщение >>

Расширение (шаблон): .XXX-XXX-XXX

Email: sambrero@tfwno.gf, dupsano@cock.lu

Telegram: t.me/Albroudy

➤ Содержание записки о выкупе: 

[+] What guarantees? [+]

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities – nobody will not cooperate with us. Its not in our interests. To be sure we have the decryptor and it works you can send an email: sambrero@tfwno.gf and decrypt one file for free.

But this file should be not valuable!

If you will not cooperate with our service – for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice – time is much more valuable than money.

Write to email: sambrero@tfwno.gf

Telegram: t.me/Albroudy

Reserved email: dupsano@cock.lu

Your personal ID: 

!!! DANGER !!!

DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions – its may entail damage of the private key and, as result, The Loss all data.

!!! !!! !!!

ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.

!!! !!! !!!

Вариант от 15 декабря 2020:

Расширение (шаблон): .XXX-XXX-XXX

Email: wiruxa@airmail.cc, anygrishevich@yandex.ru 

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Вариант от 17 декабря 2020:

Топик на форуме >>

Расширение (шаблон): .XXX-XXX-XXX

Email: uspex1@cock.li, uspex2@cock.li

Telegram: @uspex2

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Вариант от 29 декабря 2020: 

Сcылка на идентификацию >>

Расширение (шаблон): .XXX-XXX-XXX

Email: China.Helper@aol.com

Ранее этот email-адрес использовался в Alco Ransomware. 

Записка: !!! HOW TO BACK YOUR FILES !!!.TXT

Вариант от 4 января 2021: 

Пост на форуме >>

Расширение (шаблон): .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: regina4hgoregler@gmx.com, pansymarquis@yahoo.com

Вариант от 4 марта 2021: 

Расширение (шаблон): .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: filescrps@protonmail.ch, filescrp@420blaze.it, filescrp@yandex.ru

Результаты анализов: VT + AR

Вариант от 23 марта 2021: 

Расширение (шаблон): .XXX-XXX-XXX

Email: helpservisee@ctemplar.com, helpservisee@cock.li

Вариант от 23 апреля 2021:

Сообщение >>

Расширение (шаблон): .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: rootiunik@cock.li, TimothyCrabtree@protonmail.com

Вариант от 9 мая 2021: 

Сообщение >>

Email: helpoperator2@protonmail.com, helpoperator@firemail.cc

Jabber: helpoperator@thesecure.biz

Вариант от 12 июля 2021: 

Сообщение >>

Email: udacha123@mail2tor.com 

Telegram: @udacha123yes 

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

➤ Содержание записки: 

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: udacha123@mail2tor.com and decrypt one file for free.

But this file should be of not valuable!

Do you really want to restore your files?

Write to email: udacha123@mail2tor.com 

telegram @udacha123yes 

100$=24 hour 

Attention 

!!! in 24 hours the price will increase 3 times 

!!! have time to pay 

Your personal ID: 1D5-XXX-XXX

Attention!

 * Do not rename encrypted files.

 * Do not try to decrypt your data using third party software, it may cause permanent data loss.

 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Вариант от 27 июля 2021:

Сообщение >>

Расширение: .kikiriki

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Вариант от 6 августа 2021: 

Сообщение >>

Расширение: .payfast500 

Расширение: .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: payfast500@mail2tor.com 

BTC: bc1qqxnp9z0ff8x852dyflp5r9r6rzse8jl5hzmqz8 

Telegram: @payfast500

Результаты анализов: VT

Вариант от 12 августа 2021: 

Сообщение >>

Расширение: .payfast290

Расширение: .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: payfast290@mail2tor.com 

BTC: bc1qqxnp9z0ff8x852dyflp5r9r6rzse8jl5hzmqz8 

Telegram: @payfast290 

Вариант от 4 октября 2021: 

Сообщение >>

Расширение: .@payfast500 

Расширение: .XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Вариант от 19 октября 2021: 

Сообщение >>

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: payransom500@mail2tor.com 

Telegram: @payransom500 

BTC: bc1qas8m3c2jv4uyurxacdt99ujj6gp6xt4tqeul8l 

Вариант от 16 декабря 2021:

Сообщение >>

Записка: YOUR FILES ARE STEALED AND ENCRYPTED.txt

Email: GoodDay@privatemail.com

Вариант от 19 января 2022:

Сообщение >>

Расширение: .@KUKANOSSOSANOS.XXX-XXX-XXX

Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Email: kukanossosanos@onionmail.org

ICQ: @KUKANOSSOSANOS

Результаты анализов: VT

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet + Tweet, Tweet, Tweet
 ID Ransomware (ID as Zeppelin)
 Write-up, Topic of Support
 Added later: Write-up by BlackBerry Cylance

 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie, Vitali Kremez, dnwls0719
 Marcelo Rivero
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.