Zeppelin ransomware là một ransomware mới lạ đã tấn công các doanh nghiệp trong những ngày hấp hối của năm 2019. Nó được cho là một biến thể của ransomware Vega lockers khét tiếng, ngoại trừ việc nhắm mục tiêu vào các máy tính ở Nga và Đông Âu nói chung, Zeppelin ransomware dường như đã nhấn mạnh nhiều hơn vào việc lây nhiễm các hệ thống máy tính ở Hoa Kỳ và Châu Âu.
Có rất nhiều suy đoán rằng mặc dù Zeppelin ransomware chia sẻ rất nhiều điểm tương đồng với các tủ khóa Vega, bao gồm cả mã độc của nó, nhưng chúng vẫn khác nhau vì chúng được tác giả bởi các nhóm khác nhau. Ví dụ, virus Zeppelin nhắm vào các công ty CNTT và chăm sóc sức khỏe ở một khu vực khác trên thế giới. Nhưng cũng giống như phần mềm độc hại khóa Vega, Zeppelin được cho là một RaaS (Ransomware-as-a-service) có thể được mua trên các diễn đàn hack của Nga trên dark web.
Phương thức hoạt động của Zeppelin
Không rõ chính xác làm thế nào phần mềm độc hại Zeppelin có thể xâm nhập vào hệ thống máy tính, nhưng các nhà nghiên cứu an ninh mạng tin rằng phần mềm độc hại này được phân phối thông qua một máy chủ để bàn từ xa. Nó có thể xâm nhập vào mạng máy tính bằng cách khai thác các lỗ hổng trong phần mềm đã cài đặt.
Khi phần mềm độc hại đã xâm nhập thành công vào máy tính, nó sẽ kiểm tra thông tin chi tiết của nạn nhân để xem họ có phải là mục tiêu xứng đáng hay không. Nếu đúng như vậy, Zeppelin sẽ bắt đầu triều đại độc hại của nó bằng cách chấm dứt chức năng của các máy chủ được liên kết với máy tính của nạn nhân và cơ sở dữ liệu liên quan. Nếu có các bản sao lưu của các tệp, chúng sẽ được nhắm mục tiêu và không thể truy cập được.
Sau đó, Zeppelin sẽ tiếp tục và mã hóa tất cả các tệp quan trọng của nạn nhân và yêu cầu họ trả tiền chuộc qua readme.txt. Nội dung bắt đầu bằng cách nói với nạn nhân rằng “Tất cả các tệp, tài liệu, ảnh, cơ sở dữ liệu và các tệp quan trọng khác của bạn đều được mã hóa. Chỉ có một phương pháp khôi phục tệp đó là mua một khóa duy nhất… ”
Thông điệp này cũng cung cấp cho các nạn nhân một địa chỉ email để thiết lập liên hệ với bọn tội phạm mạng đứng sau hoạt động này. Nó cũng cảnh báo họ không nên cố gắng giải mã tệp hoặc thay đổi tên tệp vì nguy cơ mất tệp vĩnh viễn.
Các nhà nghiên cứu an ninh mạng cũng đã phát hiện ra trình tạo tải trọng Zeppelin, lưu ý rằng nó rất mới trong thiết kế và cho phép các chi nhánh của Zeppelin xây dựng các loại tải trọng khác nhau tùy thuộc vào mục tiêu dự định của họ. Các trọng tải có thể là tập lệnh .exe, .dll hoặc .ps1. Bất kỳ hành động nào trong số này đều bắt đầu một kiểu tấn công khác.
Loại bỏ Zeppelin Ransomware
Một khi máy tính của bạn đã bị nhiễm ransomware, bất kể đó là gì, các tùy chọn của bạn sẽ luôn bị giới hạn. Đầu tiên, sẽ không khôn ngoan nếu bạn trả số tiền ransomware vì bạn không bao giờ có thể tin tưởng bọn tội phạm giữ lời nói của chúng về việc giải mã các tệp của bạn sau đó. Chưa kể, nó chỉ mang lại cho bọn tội phạm thêm động lực để tiếp tục con đường trộm cắp của chúng vì chúng tin tưởng rằng ai đó sẽ chia tay số tiền khó kiếm được của chúng.
Vì vậy, nếu bạn không thể trả tiền chuộc, bạn có thể làm gì trong quá trình loại bỏ vi-rút Zeppelin?
Chế độ An toàn với Mạng
Chế độ An toàn là một quy trình của Windows cho phép bạn chạy máy tính của mình ở phiên bản đơn giản, trong đó chỉ những ứng dụng và cài đặt cơ bản nhất mới được bật. Khi ở Chế độ an toàn với mạng, bạn có thể truy cập các tài nguyên mạng như internet và sử dụng chúng để tải xuống các giải pháp chống phần mềm độc hại mạnh mẽ như Outbyte Antivirus . Phần mềm chống phần mềm độc hại sẽ giúp bạn loại bỏ bất kỳ loại vi rút nào đã xâm nhập vào máy tính của bạn. Tuy nhiên, được cảnh báo rằng việc loại bỏ vi-rút không có nghĩa là bây giờ bạn sẽ khôi phục các tệp của mình.
Dưới đây là cách truy cập Chế độ An toàn với Mạng trên Windows 7, Windows Vista và Windows XP:
- Khởi động lại máy tính của bạn và bật nguồn ngay lập tức. Nhấn F8 lặp lại trong khoảng thời gian 1 giây.
- Máy tính của bạn sẽ hiển thị thông tin phần cứng và chạy kiểm tra bộ nhớ trước khi trình bày Tùy chọn khởi động nâng cao menu.
- Sử dụng các phím mũi tên để chọn Chế độ an toàn với Mạng.
Chế độ An toàn với Mạng trên Windows 10/11:
Để khởi động Windows 10/11 của bạn vào Chế độ An toàn với Mạng từ màn hình trống, hãy thực hiện các bước sau:
- Giữ nút nguồn trong khoảng 10 giây để tắt máy tính của bạn.
- Nhấn lại nút nguồn để bật thiết bị của bạn.
- Khi Windows có dấu hiệu khởi động, hãy nhấn lại nút nguồn để tắt. Tiếp tục bật và tắt thiết bị cho đến khi bạn chuyển đến Môi trường khôi phục Windows (winRE).
- Trên Chọn một tùy chọn màn hình xuất hiện trong winRE, chọn Khắc phục sự cố> Tùy chọn nâng cao> Cài đặt khởi động> Khởi động lại.
- Sau khi thiết bị của bạn khởi động lại, hãy sử dụng các phím mũi tên để chọn Chế độ an toàn với mạng từ danh sách xuất hiện.
Bây giờ bạn đã khởi động Windows 10/11 vào Chế độ An toàn với Mạng, bạn có thể sử dụng tài nguyên mạng để truy cập trang web và tìm hiểu cách đối phó với nhiều loại mối đe dọa phần mềm độc hại khác nhau.
Khôi phục Hệ thống
Khôi phục Hệ thống là một quá trình khôi phục Windows cho phép bạn đưa máy tính của mình trở lại trạng thái hoạt động trước đó bằng cách kích hoạt điểm khôi phục. Khôi phục Hệ thống sẽ chỉ hoạt động nếu đã có các điểm khôi phục trên máy tính của bạn.
Để đến tùy chọn Khôi phục Hệ thống, hãy làm theo các bước cần thiết để khởi động máy tính của bạn vào Chế độ An toàn với Mạng. Nhưng thay vì chọn Cài đặt khởi động , chọn Khôi phục hệ thống . Trong quá trình Khôi phục Hệ thống, bạn sẽ được thông báo về các ứng dụng và cài đặt sẽ không còn khả dụng sau khi điểm khôi phục được kích hoạt. Đảm bảo rằng vi-rút mà bạn định loại bỏ có trong danh sách các chương trình bị ảnh hưởng.
Bạn còn có thể làm gì khác nữa không? Nếu mọi nỗ lực của bạn không xóa được tệp Zeppelin khỏi máy tính, bạn vẫn có thể theo đuổi tùy chọn hạt nhân là đặt lại máy tính của mình hoặc cài đặt phiên bản Windows mới.
Phần mềm độc hại Zeppelin đã lây nhiễm vào máy tính của bạn như thế nào?
Sau khi trải qua một thảm họa khủng khiếp chẳng hạn như bị nhiễm phần mềm độc hại Zeppelin, mọi người thường tự hỏi làm thế nào mà phần mềm độc hại này có thể xâm nhập vào hệ thống của họ ngay từ đầu. Dưới đây là một vài manh mối:
Bảo mật Sloppy
Bạn có phần mềm chống vi-rút trên tất cả các máy tính của mình không? Tổ chức của bạn có sử dụng xác thực hai yếu tố cho tất cả các ứng dụng giao diện người dùng không? Tất cả các hệ thống và ứng dụng của bạn, bao gồm cả HĐH Windows, có được cập nhật không? Bạn có bản sao lưu an toàn cho các tệp quan trọng nhất của mình không? Đây là một số câu hỏi mà bạn nên tự hỏi mình sau khi bị nhiễm trùng. Họ sẽ giúp bạn xác định những điểm yếu.
Thói quen lướt web kém
Nếu bạn truy cập các trang web đáng ngờ hoặc những trang không được bảo mật, bạn có nguy cơ tải xuống phần mềm độc hại trên máy tính của mình. Bạn thậm chí không phải nhấp vào một số tệp hoặc thứ gì đó, đôi khi phần mềm độc hại sẽ tự động tải xuống.
Xử lý kém các tệp đính kèm trong email
Hầu hết phần mềm độc hại được phát tán thông qua các chiến dịch lừa đảo liên quan đến email spam đi kèm với các liên kết và tệp đính kèm độc hại. Trước khi bạn cam kết phản hồi bất kỳ điều gì, hãy xác minh tính xác thực của nguồn.
Phần mềm vi phạm bản quyền
Tất cả chúng ta đều muốn sử dụng những thứ miễn phí, nhưng mọi thứ đều phải trả giá. Một số phần mềm miễn phí có sẵn trên The Pirate Bay và các trang web tương tự được chia sẻ bởi tội phạm mạng, những kẻ đã khéo léo gói các loại vi-rút trong các gói phần mềm. Việc dựa vào các trang web như vậy để tìm phần mềm miễn phí có vẻ là một điều khôn ngoan, nhưng hậu quả có thể rất thảm khốc khi chúng tấn công.