Zeppelin Ransomware
Buran-Zeppelin Ransomware
(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для защиты закрытого ключа, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Zeppelin. Написан на Delphi.
---
Обнаружения:
DrWeb -> DLOADER.Trojan, Trojan.Encoder.25574, Trojan.Encoder.30393
BitDefender -> Trojan.GenericKD.42071109, Generic.Ransom.Buhtrap.***
Malwarebytes -> Ransom.Buran
McAfee -> RDN/Generic.grp, GenericRXJE-WA!FEE6BA9A0D7A
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:Win32/Zeppelin.A!MSR
ESET-NOD32 -> A Variant Of Win32/Filecoder.Buran.H
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
---
© Генеалогия: Buran > Zeppelin (Buran V)
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение в формате 3х3, например, как в тексте записки: .126-A9A-0E9 или .244-A80-137
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на вторую половину ноября 2019 г. (штамп времени: 6 ноября 2019) и продолжилась в декабре 2019 и позже, в 2020-2021 г. Ориентирован на англоязычных и иноязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: readme.txt
Другой вариант: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Так это выглядит при открытии файла в Блокноте.
Так это выглядит при открытии файла в браузере Google Chrome.
Содержание записки о выкупе:
---=== Welcome. Again. ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your computer has extension 126-A9A-0E9
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.To be sure we have the decryptor and it works you can send an email: zeppelindecrypt@420blaze.it and decrypt one file for free.
But this file should be of not valuable!
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
Write to email: zeppelindecrypt@420blaze.it
Reserved email: zeppelin_helper@tuta.io
Reserved jabber: zeppelin_decrypt@xmpp.jp
Your personal ID: 126-A9A-0E9
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!
Перевод записки на русский язык:
---=== Добро пожаловать. Снова. ===---
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение 126-A9A-0E9
Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в наших интересах. Чтобы убедиться, что у нас есть расшифровщик, и он работает, вы можете написать на email zeppelindecrypt@420blaze.it и дешифровать один файл бесплатно.
Но этот файл не должен быть ценным!
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
Написать на email: zeppelindecrypt@420blaze.it
Резервный адрес email: zeppelin_helper@tuta.io
Резервный jabber: zeppelin_decrypt@xmpp.jp
Ваш личный ID: 126-A9A-0E9
!!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменить файлы самостоятельно, НЕ используйте любую стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение личного ключа и, как следствие, потерю всех данных.
!!! !!! !!!
ЕЩЕ РАЗ: В ваших интересах вернуть ваши файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но, пожалуйста, не нужно мешать.
!!! !!! !!!
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Содержание записки о выкупе:
---=== Welcome. Again. ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your computer has extension 126-A9A-0E9
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.To be sure we have the decryptor and it works you can send an email: zeppelindecrypt@420blaze.it and decrypt one file for free.
But this file should be of not valuable!
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
Write to email: zeppelindecrypt@420blaze.it
Reserved email: zeppelin_helper@tuta.io
Reserved jabber: zeppelin_decrypt@xmpp.jp
Your personal ID: 126-A9A-0E9
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!
---=== Добро пожаловать. Снова. ===---
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение 126-A9A-0E9
Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в наших интересах. Чтобы убедиться, что у нас есть расшифровщик, и он работает, вы можете написать на email zeppelindecrypt@420blaze.it и дешифровать один файл бесплатно.
Но этот файл не должен быть ценным!
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
Написать на email: zeppelindecrypt@420blaze.it
Резервный адрес email: zeppelin_helper@tuta.io
Резервный jabber: zeppelin_decrypt@xmpp.jp
Ваш личный ID: 126-A9A-0E9
!!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменить файлы самостоятельно, НЕ используйте любую стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение личного ключа и, как следствие, потерю всех данных.
!!! !!! !!!
ЕЩЕ РАЗ: В ваших интересах вернуть ваши файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но, пожалуйста, не нужно мешать.
!!! !!! !!!
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ При первом запуске Zeppelin Ransomware проверяет код страны жертвы, чтобы убедиться, что компьютер не находится в одной из следующих стран:
Россия
Украина
Белоруссия
Казахстан
С этой целью он проверяет язык ОС компьютера, установленный по умолчанию, телефонный код страны по умолчанию, или использует онлайн-сервисы для получения внешнего IP-адреса жертвы.
Использует следующие сайты для определения IP и страны компьютера:
iplogger.org
geoiptool.com
iplogger.org
geoiptool.com
➤ Zeppelin Ransomware создает в каталоге %TEMP% пустой файл с расширением “.zeppelin” и именем, которое представляет собой хэш CRC32 пути вредоносной программы.
Если установлен параметр “Startup”, вредонос копирует себя в каталог %APPDATA%\Roaming\Microsoft\Windows, используя случайно выбранное из списка активных процессов имя (игнорируя любые процессы, которые были вызваны с помощью аргументов командной строки “install” и “setup”).
Выбранное имя затем шифруется с помощью случайно сгенерированного 32-байтового ключа RC4, кодированного в base64 (вместе с добавленным ключом) и сохраняется в значение реестра с названием “Process” под HKCU\Software\Zeppelin.
После закрепления в системе с помощью ключа реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run программа-вымогатель повторно запустит себя с нового пути с аргументом “-start”. Если установлен параметр “UAC prompt”, он попытается запуститься с повышенными привилегиями.
Если установлен параметр “Melt”, поток самоудаления будет внедрен во вновь созданный процесс notepad.exe, и вредонос завершится с кодом 0xDEADFACE. Иначе он завершится с кодом 0.
➤ Zeppelin Ransomware использует следующий набор комнад для остановки процессов программ безопасности, резервного копирования, баз данных, для удаления теневых копий файлов, отключения функций восстановления и исправления Windows на этапе загрузки, для очистки системных журналов:
net stop "Acronis VSS Provider" /y
net stop "Enterprise Client Service" /y
net stop "SQL Backups" /y
net stop "SQLsafe Backup Service" /y
net stop "SQLsafe Filter Service" /y
net stop "Sophos Agent" /y
net stop "Sophos AutoUpdate Service" /y
net stop "Sophos Clean Service" /y
net stop "Sophos Device Control Service" /y
net stop "Sophos File Scanner Service" /y
net stop "Sophos Health Service" /y
net stop "Sophos MCS Agent" /y
net stop "Sophos MCS Client" /y
net stop "Sophos Message Router" /y
net stop "Sophos Safestore Service" /y
net stop "Sophos System Protection Service" /y
net stop "Sophos Web Control Service" /y
net stop "Symantec System Recovery" /y
net stop "Veeam Backup Catalog Data Service" /y
net stop "Zoolz 2 Service" /y
net stop ARSM /y
net stop AVP /y
net stop AcrSch2Svc /y
net stop AcronisAgent /y
net stop Antivirus /y
net stop BackupExecAgentAccelerator /y
net stop BackupExecAgentBrowser /y
net stop BackupExecDeviceMediaService /y
net stop BackupExecJobEngine /y
net stop BackupExecManagementService /y
net stop BackupExecRPCService /y
net stop BackupExecVSSProvider /y
net stop DCAgent /y
net stop EPSecurityService /y
net stop EPUpdateService /y
net stop ESHASRV /y
net stop EhttpSrv /y
net stop EraserSvc11710 /y
net stop EsgShKernel /y
net stop FA_Scheduler /y
net stop IISAdmin /y
net stop IMAP4Svc /y
net stop KAVFS /y
net stop KAVFSGT /y
net stop MBAMService /y
net stop MBEndpointAgent /y
net stop MMS /y
net stop MSExchangeES /y
net stop MSExchangeIS /y
net stop MSExchangeMGMT /y
net stop MSExchangeMTA /y
net stop MSExchangeSA /y
net stop MSExchangeSRS /y
net stop MSOLAP$SQL_2008 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop MSOLAP$TPS /y
net stop MSOLAP$TPSAMA /y
net stop MSSQL$BKUPEXEC /y
net stop MSSQL$ECWDB2 /y
net stop MSSQL$PRACTICEMGT /y
net stop MSSQL$PRACTTICEBGC /y
net stop MSSQL$PROD /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop MSSQL$SBSMONITORING /y
net stop MSSQL$SHAREPOINT /y
net stop MSSQL$SOPHOS /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$SQL_2008 /y
net stop MSSQL$SYSTEM_BGC /y
net stop MSSQL$TPS /y
net stop MSSQL$TPSAMA /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQL$VEEAMSQL2012 /y
net stop MSSQLFDLauncher /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQLFDLauncher$TPS /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop MSSQLSERVER /y
net stop MSSQLServerADHelper /y
net stop MSSQLServerADHelper100 /y
net stop MSSQLServerOLAPService /y
net stop McAfeeEngineService /y
net stop McAfeeFramework /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop McShield /y
net stop McTaskManager /y
net stop MsDtsServer /y
net stop MsDtsServer100 /y
net stop MsDtsServer110 /y
net stop MySQL57 /y
net stop MySQL80 /y
net stop NetMsmqActivator /y
net stop OracleClientCache80 /y
net stop PDVFSService /y
net stop POP3Svc /y
net stop RESvc /y
net stop ReportServer /y
net stop ReportServer$SQL_2008 /y
net stop ReportServer$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop ReportServer$TPSAMA /y
net stop SAVAdminService /y
net stop SAVService /y
net stop SDRSVC /y
net stop SMTPSvc /y
net stop SNAC /y
net stop SQLAgent$BKUPEXEC /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop SQLAgent$CXDB /y
net stop SQLAgent$ECWDB2 /y
net stop SQLAgent$PRACTTICEBGC /y
net stop SQLAgent$PRACTTICEMGT /y
net stop SQLAgent$PROD /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SQLAgent$SBSMONITORING /y
net stop SQLAgent$SHAREPOINT /y
net stop SQLAgent$SOPHOS /y
net stop SQLAgent$SQLEXPRESS /y
net stop SQLAgent$SQL_2008 /y
net stop SQLAgent$SYSTEM_BGC /y
net stop SQLAgent$TPS /y
net stop SQLAgent$TPSAMA /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop SQLBrowser /y
net stop SQLSERVERAGENT /y
net stop SQLSafeOLRService /y
net stop SQLTELEMETRY /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop SQLWriter /y
net stop SamSs /y
net stop SepMasterService /y
net stop ShMonitor /y
net stop SmcService /y
net stop Smcinst /y
net stop SntpService /y
net stop SstpSvc /y
net stop TmCCSF /y
net stop TrueKey /y
net stop TrueKeyScheduler /y
net stop TrueKeyServiceHelper /y
net stop UI0Detect /y
net stop VeeamBackupSvc /y
net stop VeeamBrokerSvc /y
net stop VeeamCatalogSvc /y
net stop VeeamCloudSvc /y
net stop VeeamDeploySvc /y
net stop VeeamDeploymentService /y
net stop VeeamEnterpriseManagerSvc /y
net stop VeeamHvIntegrationSvc /y
net stop VeeamMountSvc /y
net stop VeeamNFSSvc /y
net stop VeeamRESTSvc /y
net stop VeeamTransportSvc /y
net stop W3Svc /y
net stop WRSVC /y
net stop bedbg /y
net stop ekrn /y
net stop kavfsslp /y
net stop klnagent /y
net stop macmnsvc /y
net stop masvc /y
net stop mfefire /y
net stop mfemms /y
net stop mfevtp /y
net stop mozyprobackup /y
net stop msftesql$PROD /y
net stop ntrtscan /y
net stop sacsvr /y
net stop sophossps /y
net stop svcGenericHost /y
net stop swi_filter /y
net stop swi_service /y
net stop swi_update /y
net stop swi_update_64 /y
net stop tmlisten /y
net stop wbengine /y
net stop wbengine /y
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
attrib "%userprofile%\documents\Default.rdp" -s -h
del "%userprofile%\documents\Default.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Список завершаемых процессов:
agntsvc.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, agntsvc.exeisqlplussvc.exe, anvir.exe, anvir64.exe, apache.exe, backup.exe, ccleaner.exe, ccleaner64.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, far.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, kingdee.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld-nt.exe, mysqld-opt.exe, mysqld.exe, ncsvc.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, oracle.exe, oracle.exe, procexp.exe, regedit.exe, sqbcoreservice.exe, sql.exe, sqlagent.exe, sqlbrowser.exe, sqlserver.exe, sqlservr.exe, sqlwriter.exe, synctime.exe, taskkill.exe, tasklist.exe, taskmgr.exe, tbirdconfig.exe, tomcat.exe, tomcat6.exe, u8.exe, ufida.exe, visio.exe, xfssvccon.exe
Список игнорируемых расширений:
Список файловых расширений, подвергающихся шифрованию:
Популярные типы расширений, кроме тех, что находятся в списках игнорируемых.
Популярные типы расширений, кроме тех, что находятся в списках игнорируемых.
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Список игнорируемых расширений:
.bat, .cmd, .com, .cpl, .dll, .msc, .msp, .pif, .scr, .sys, .log, .lnk, .zeppelin
Список игнорируемых директорий:
Список пропускаемых файлов:
boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntdetect.com, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db
Файлы, связанные с этим Ransomware:
readme.txt
svchost.exe
<random>.exe - случайное название вредоносного файла
1767D234-B440-8A0A-8098-4692C8B2B5A8_unlocker.exe
Расположения:
C:\.zeppelin
C:\Users\.zeppelin и другие
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
\USER\S-*\Software\Buran V\Stop
HKEY_CURRENT_USER\Software\Zeppelin
HKEY_CURRENT_USER\Software\Zeppelin\Keys
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Encrypted Private Key
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Public Key
HKEY_CURRENT_USER\Software\Zeppelin\Knock
HKEY_CURRENT_USER\Software\Zeppelin\Paths
HKEY_CURRENT_USER\Software\Zeppelin\Paths\0
HKEY_CURRENT_USER\Software\Zeppelin\Stop
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: zeppelindecrypt@420blaze.it, zeppelin_helper@tuta.io
Jabber: zeppelin_decrypt@xmpp.jp
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
Список игнорируемых директорий:
\Windows\
\Windows.old\
\$Windows.~bt\
\System Volume Information\
\intel\
\nvidia\
\inetpub\logs\
\All Users\
\AppData\
\Apple Computer\Safari\
\Application Data\
\Boot\
\Google\
\Google\Chrome\
\Mozilla Firefox\
\Mozilla\
\Opera Software\
\Opera\
\Tor Browser\
\Common Files\
\Internet Explorer\
\Windows Defender\
\Windows Mail\
\Windows Media Player\
\Windows Multimedia Platform\
\Windows NT\
\Windows Photo Viewer\
\Windows Portable Devices\
\WindowsPowerShell\
\Windows Photo Viewer\
\Windows Security\
\Embedded Lockdown Manager\
\Windows Journal\
\MSBuild\
\Reference Assemblies\
\Windows Sidebar\
\Windows Defender Advanced Threat Protection\
\Microsoft\
\Package Cache\
\Microsoft Help\
Список пропускаемых файлов:
boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntdetect.com, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db
Файлы, связанные с этим Ransomware:
readme.txt
svchost.exe
<random>.exe - случайное название вредоносного файла
1767D234-B440-8A0A-8098-4692C8B2B5A8_unlocker.exe
Расположения:
C:\.zeppelin
C:\Users\.zeppelin и другие
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
\USER\S-*\Software\Buran V\Stop
HKEY_CURRENT_USER\Software\Zeppelin
HKEY_CURRENT_USER\Software\Zeppelin\Keys
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Encrypted Private Key
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Public Key
HKEY_CURRENT_USER\Software\Zeppelin\Knock
HKEY_CURRENT_USER\Software\Zeppelin\Paths
HKEY_CURRENT_USER\Software\Zeppelin\Paths\0
HKEY_CURRENT_USER\Software\Zeppelin\Stop
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: zeppelindecrypt@420blaze.it, zeppelin_helper@tuta.io
Jabber: zeppelin_decrypt@xmpp.jp
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT> VT> VT>
𝚺 VirusTotal analysis (decryptor) >>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
Здесь мы можем видеть, что название записки можно менять.
На скриншоте это !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
Buran-Storm Ransomware - июнь, сентябрь 2019
Zeppelin Ransomware - декабрь 2019 -> апрель 2020 -> 2021
Вариант от 28 ноября 2019:
Сообщение >>
Расширение (пример): .BB4-230-123
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: buratino@firemail.cc, buratino2@tutanota.com, buratin@torbox3uiot6wchz.onion
Результаты анализов: VT + IA
𝚺 VirusTotal analysis (decryptor) >>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== === RANSOMWARE BUILDER ===
На скриншоте это !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
Buran-Storm Ransomware - июнь, сентябрь 2019
Zeppelin Ransomware - декабрь 2019 -> апрель 2020 -> 2021
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 28 ноября 2019:
Сообщение >>
Расширение (пример): .BB4-230-123
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: buratino@firemail.cc, buratino2@tutanota.com, buratin@torbox3uiot6wchz.onion
Результаты анализов: VT + IA
Need decrypt your data?
Write on e-mail:
buratino@firemail.cc
Your personal ID:
BB4-232-232
Additional e-mails:
buratino2@tutanota.com
buratin@torbox3uiot6wchz.onion (access only from tor)
Вариант от 8-9 декабря 2019:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX
Пример расширения: .276-A80-137
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: angry_war@protonmail.ch
Результаты анализов: VT + VMR
Статья на сайте Cylance >>
Статья на сайте BC >>
Вариант от 19 декабря 2019:
Сообщение >>
Email: cheet0s_de@protonmail.com, Pringls_us@protonmail.com
Файл: LilDroidSoftwareload.exe
AZORult может украсть криптовалюту и банковскую информацию, включая пароли и данные кредитной карты. Это регулярно обновляемое вредоносное ПО для кражи информации продолжает оставаться активной угрозой.
Результаты анализов на zip-архив: VT + AR + HA
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: cheet0s_de@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: cheet0s_de@protonmail.com
Reserved email: Pringls_us@protonmail.com
Your personal ID: 775-43E-***
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Вариант от 19 декабря 2019:
Сообщение >>
Расширение (шаблон): .zeppelin и .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: helpservis@horsefucker.org
Результаты анализов: VT + AR + VMR
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: helpservis@horsefucker.org and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: helpservis@horsefucker.org
Your personal ID: 781-1F7-E11
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Пример расширения: .F3D-0BB-E7E
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Результаты анализов: VT + VT
Вариант от 22 декабря 2019:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Файлы: LilDroidSofwareload.exe, zaebalsiarealy.exe
=== 2020 ===
Вариант от 9 января 2020:
Сообщение >>
Расширение: .XXX-XXX-XXX и .zeppelin
Email: ret3pwn@gmail.com
Записка (на турецком языке): !!! CONTACT !!!.TXT
Результаты анализов: VT + HA + IA + AR + AR
contact addres : ret3pwn@gmail.com
ip numaraniz : { google.com da ip goster yazip sitelerden ögrenebilirsiniz }
senin kodun : tXZ01
verileriniz sifrelendi verilerinizin cozulmesini hacklendigi gunki haline
donmesini istiyorsaniz bize ulasin verilerinizi cozmeniz konusunda yardim edelim
1- nasil hacklendiginizi öğreneceksiniz
2- tekrar hacklenmemek icin bizden oneriler ve yardimlar alacaksin
3- sifrelenen verilerin acilicek sistemin eski haline gelicek
4- guvenli ve cok saglam bir sistem kurman icin bilgiler öneriler vereceğiz
5- daha once bizim tarafimizdan hacklenmis yardim gormus verisi acilmis
bir firma ile gorusturecegiz. goruşmeden once ciddi oldugunuzu bilmemiz icin
size teklif edilen odemeyi hazirlamis olmaniz gerekir. odeme yolu ve bilgisi
mail ile verilicektir
not : verinizi acamayacagimizdan suphe duyarsaniz sizin için önemi olmayan
ama cozebilecegimizi gosteren basit bir dosya yollayabilirsiniz
mail ile istediklerimiz
1- ip numaraniz
2- senin kodun
3- cozmemizi isterseniz ornek bir dosya
Вариант от 9 января 2020:
Сообщение >>
Расширение: .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!
Email: cheot0s_de@protonmail.com
Pringls_us@protonmail.com
➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to p***
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: cheot0s_de@protonmail.com
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: cheot0s_de@protonmail.com
'Reserved email: Pringls_us@protonmail.com
Your personal ID: xxx-xxx-xxx
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent***
• Decryption of your files with the help of third parties may cause increased price***
Вариант от 21 января 2020:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: puljaipopre1981@protonmail.com, viomukinam1978@protonmail.com
Результаты анализов: VT + VMR + IA / VT + VMR
Вариант от 9 февраля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Пример расширения: .2BF-510-92E
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: onlinebigbrotheriswatchingyou@protonmail.com
onlinebigbrotheriswatchingyou@tutanota.com
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: onlinebigbrotheriswatchingyou@protonmail.com or onlinebigbrotheriswatchingyou@tutanota.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: onlinebigbrotheriswatchingyou@protonmail.com
Reserved email: onlinebigbrotheriswatchingyou@tutanota.com
Your personal ID: 2BF-515-95E
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our).
To avoid getting your computer infected AGAIN you should be very careful when downloading software - the only safe place to download applications is their developer website or official app store. Be very careful when opening attachments in your email inbox - even legitimate looking emails can be a part of social engineering created by BIG BROTHER. You are advised keep your operating system and installed software up-to-date. Use legitimate antivirus and anti-spyware programs and do not click on links or open email attachments from untrusted sources. Avoid visiting pornographic websites and do not download files from P2P services such as torrents and never use software cracks or game cheats - these are very common places where cyber criminals distribute their malicious software.
Вариант от 20 февраля 2020:
Сообщение >>
Enail: msupport2019@protonmail.com, msupport@elude.in
Файл: Aksip.exe
Результаты анализов: VT + VMR
Обнаружения:
DrWeb -> Trojan.Encoder.31068
BitDefender -> Trojan.GenericKD.33337236
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZWI
McAfee -> Trojan-FRUJ!61506482DDD2
TrendMicro -> Trojan.Win32.MALREP.THBBDBO
Symantec -> Trojan.Gen.2
Вариант от 21 февраля 2020:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: sambrero@tfwno.gf, dupsano@cock.lu
Записка: Warning!.txt
Раздел реестра не изменился: HKEY_CURRENT_USER\Software\Zeppelin
Результаты анализов: VT + IA
Обнаружения:
DrWb -> Trojan.Encoder.25574
BitDefender -> Trojan.GenericKD.33349310
ESET-NOD32 -> Win32/Filecoder.Buran.H
Malwarebytes -> Backdoor.XTRat
Microsoft -> Ransom:Win32/Zeppelin.B!MSR
TrendMicro -> Ransom_Zeppelin.R011C0DBN20
Вариант от 6 апреля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: MattCohn@tutanota.com, BruceCohn88@protonmail.com
➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: MattCohn@tutanota.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: MattCohn@tutanota.com
Reserved email: BruceCohn88@protonmail.com
Your personal ID: E69-CE5-209
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Вариант от 12 апреля 2020:
Сообщение >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: unlocking2020@protonmail.ch, burlocker2020@tuta.io
Записка: Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Результаты анализов: VT
Вариант от 14 апреля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Email: unlocking2020@protonmail.ch, burlocker2020@tuta.io
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: runlocker@protonmail.com, ranlock@keemail.me
Результаты анализов: VT
➤ Содержание записки:
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: runlocker@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: runlocker@protonmail.com
Reserved email: ranlock@keemail.me
Your personal ID: 145-XXX-XXX
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Вариант от 29 мая 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX
Записка: RECOVERY DATA INFORMATION.TXT
Email: cluff_sarah@aol.com
Hello!
If you see this message - this means your files are now encrypted and are in a non-working state! Now only we can help you recover.
If you are ready to restore the work - send us an email to the address cluff_sarah@aol.com In the letter, specify your personal identifier, which you will see below. In the reply letter we will inform you the cost of decrypting your files.
Also from your servers, files were downloaded to our cloud storage, such as:
Documents, accounting and tax reporting files, scanned copies of passports, driver's licenses of SQL, MySQL database, database with financial information ...
After we agree, you will receive a decryption program, as well as all your files on our server will be deleted.
Otherwise, they will fall into the open access of the Internet!
Before payment you can send us 1-2 files for test decryption. We will decrypt the files you requested and send you back. This ensures that we own the key to recover your data. The total file size should be no more than 3 MB, the files should not contain valuable information (databases, backups, large Excel spreadsheets ...).
Please be sure that we will find common languge. We will restore all the data.
Email to contact us - cluff_sarah@aol.com
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
Your personal ID: 2AC-EFF-XXX
Вариант от 22 июля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX
Email: restmefast@tutanota.com
➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: restmefast@tutanota.com and decrypt one file for free.
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Вариант от 22 июля 2020:
Топик на форуме >>
Расширение (шаблон): .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!
Email: helpservise@mail2tor.com
helpservise@ctemplar.com
recovery2020@cock.li
➤ Содержание записки:
!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: helpservise@mail2tor.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: helpservise@mail2tor.com
Reserved email: helpservise@ctemplar.com
Reserved email2: recovery2020@cock.li
Your personal ID: 20D-977-***
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Вариант от 7 сентября 2020:
Топик на форуме >>
Email: yesbay@protonmail.com
➤ Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: yesbay@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: yesbay@protonmail.com
Your personal ID: AFA-XXX-XXX
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Вариант от 8 ноября 2020:
Вариант от 4 декабря 2020:
Расширение (шаблон): .XXX-XXX-XXX
Email: sambrero@tfwno.gf, dupsano@cock.lu
Telegram: t.me/Albroudy
➤ Содержание записки о выкупе:
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities – nobody will not cooperate with us. Its not in our interests. To be sure we have the decryptor and it works you can send an email: sambrero@tfwno.gf and decrypt one file for free.
But this file should be not valuable!
If you will not cooperate with our service – for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice – time is much more valuable than money.
Write to email: sambrero@tfwno.gf
Telegram: t.me/Albroudy
Reserved email: dupsano@cock.lu
Your personal ID:
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions – its may entail damage of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!
Вариант от 15 декабря 2020:
Расширение (шаблон): .XXX-XXX-XXX
Email: wiruxa@airmail.cc, anygrishevich@yandex.ru
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Вариант от 17 декабря 2020:
Расширение (шаблон): .XXX-XXX-XXX
Email: uspex1@cock.li, uspex2@cock.li
Telegram: @uspex2
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Вариант от 29 декабря 2020:
Расширение (шаблон): .XXX-XXX-XXX
Email: China.Helper@aol.com
Ранее этот email-адрес использовался в Alco Ransomware.
Записка: !!! HOW TO BACK YOUR FILES !!!.TXT
Вариант от 4 января 2021:
Расширение (шаблон): .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: regina4hgoregler@gmx.com, pansymarquis@yahoo.com
Вариант от 4 марта 2021:
Расширение (шаблон): .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: filescrps@protonmail.ch, filescrp@420blaze.it, filescrp@yandex.ru
Вариант от 23 марта 2021:
Расширение (шаблон): .XXX-XXX-XXX
Email: helpservisee@ctemplar.com, helpservisee@cock.li
Вариант от 23 апреля 2021:
Расширение (шаблон): .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: rootiunik@cock.li, TimothyCrabtree@protonmail.com
Вариант от 9 мая 2021:
Email: helpoperator2@protonmail.com, helpoperator@firemail.cc
Jabber: helpoperator@thesecure.biz
Вариант от 12 июля 2021:
Email: udacha123@mail2tor.com
Telegram: @udacha123yes
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: udacha123@mail2tor.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: udacha123@mail2tor.com
telegram @udacha123yes
100$=24 hour
Attention
!!! in 24 hours the price will increase 3 times
!!! have time to pay
Your personal ID: 1D5-XXX-XXX
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Вариант от 27 июля 2021:
Расширение: .kikiriki
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Вариант от 6 августа 2021:
Расширение: .payfast500
Расширение: .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: payfast500@mail2tor.com
BTC: bc1qqxnp9z0ff8x852dyflp5r9r6rzse8jl5hzmqz8
Telegram: @payfast500
Результаты анализов: VT
Вариант от 12 августа 2021:
Расширение: .payfast290
Расширение: .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: payfast290@mail2tor.com
BTC: bc1qqxnp9z0ff8x852dyflp5r9r6rzse8jl5hzmqz8
Telegram: @payfast290
Вариант от 4 октября 2021:
Расширение: .@payfast500
Расширение: .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Вариант от 19 октября 2021:
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: payransom500@mail2tor.com
Telegram: @payransom500
BTC: bc1qas8m3c2jv4uyurxacdt99ujj6gp6xt4tqeul8l
Вариант от 16 декабря 2021:
Записка: YOUR FILES ARE STEALED AND ENCRYPTED.txt
Email: GoodDay@privatemail.com
Вариант от 19 января 2022:
Расширение: .@KUKANOSSOSANOS.XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: kukanossosanos@onionmail.org
ICQ: @KUKANOSSOSANOS
Результаты анализов: VT
Обнаружения:
DrWeb -> Trojan.Encoder.37199
BitDefender -> Generic.Ransom.Buhtrap.B3E2A0C8
ESET-NOD32 -> A Variant Of Win32/Filecoder.Buran.J
Microsoft -> Ransom:Win32/Zeppelin.A!MSR
Tencent -> Trojan-Ransom.Win32.Buhtrap.16000564
TrendMicro -> Ransom.Win32.ZEPPELIN.SMTH
Вариант от 15 августа от 2024:
Доп. название: RDanger Ransomware
Расширение (шаблон): .XXX-XXX-XXX
Записка: ATTENTION! ALL YOUR FILES ARE ENCRYPTED!.TXT
айл: RMMaster.exe
Обнаружения:
DrWeb -> Trojan.Encoder.40854
BitDefender -> Generic.Ransom.Buhtrap.DE81F20A
ESET-NOD32 -> A Variant Of Win32/Filecoder.Buran.J
Microsoft -> Ransom:Win32/Zeppelin.A!MSR
Rising -> Ransom.Zeppelin!1.D4C1 (CLOUD)
Symantec -> Ransom.Buran
Tencent -> Trojan-Ransom.Win32.Buhtrap.16000564
TrendMicro -> Ransom_Zeppelin.R002C0DHF24
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter: myTweet + Tweet, Tweet, Tweet ID Ransomware (ID as Zeppelin) Write-up, Topic of Support Added later: Write-up by BlackBerry Cylance
Thanks: Andrew Ivanov (author) Michael Gillespie, Vitali Kremez, dnwls0719 Marcelo Rivero to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.