Guia definitivo de remoção e prevenção contra o Ransomware ZEPPELIN

O ZEPPELIN é um programa malicioso. É uma variante do ransomware Buran . O crédito pela descoberta do ZEPPELIN pertence ao GrujaRS . Os sistemas infectados com esse malware têm seus dados criptografados, cujo objetivo é os cibercriminosos por trás da infecção – exigir pagamento por ferramentas / software de descriptografia. 

Durante o processo de criptografia, o ZEPPELIN acrescenta nomes de arquivos com uma extensão aleatória, usando o sistema numérico hexadecimal, apresentado em 3×3 (por exemplo, “.126-D7C-E67“). 
Por exemplo, um arquivo como “1.jpg” seria semelhante a “1.jpg.126-D7C-E67” e assim por diante para todos os arquivos afetados. 

Além disso, adiciona marcadores de arquivo (“ZEPPELIN“) para os arquivos criptografados. Após a conclusão desse processo, um arquivo de texto intitulado “!!! TODOS OS SEUS ARQUIVOS SÃO CRIPTRADOS !!!.TXT” é solto na área de trabalho.

Zeppelin-Ransomware-Txt

Resumo da Ameaça:

NomeVírus ZEPPELIN
Tipo de ameaçaRansomware, Crypto Virus, File Locker
Extensão de arquivos criptografadosAleatório hex 3×3
Mensagem exigente de resgate!!! TODOS OS SEUS ARQUIVOS SÃO CRIPTRADOS !!!. TXT
Contato com criminosos cibernéticos[email protected]
Nomes de detecçãoAvast (Win32: Trojan-gen), BitDefender (Generic.Ransom.Buhtrap.9E656C86), ESET-NOD32 (Uma variante do Win32 / Filecoder.Buran.H), Kaspersky (HEUR: Trojan.Win32.Agent.gen), Completo Lista de detecções ( VirusTotal )
SintomasNão é possível abrir os arquivos armazenados no seu computador; os arquivos funcionais anteriormente agora têm uma extensão diferente (por exemplo, my.docx.locked). Uma mensagem de pedido de resgate é exibida na sua área de trabalho. Os cibercriminosos exigem o pagamento de um resgate (geralmente em bitcoins) para desbloquear seus arquivos.
Métodos de distribuiçãoAnexos de email infectados (macros), sites de torrent, anúncios maliciosos.
DanificarTodos os arquivos são criptografados e não podem ser abertos sem pagar um resgate. Trojans adicionais para roubar senhas e infecções por malware podem ser instalados junto com uma infecção por ransomware.

Como se proteger de infecções por ransomware?

Os usuários são desencorajados a abrir emails suspeitos e / ou irrelevantes. Todos os arquivos (e links) encontrados em mensagens duvidosas – nunca devem ser abertos, pois isso pode acioná-los para iniciar o download / instalação de conteúdo malicioso. É altamente recomendável usar apenas canais de download oficiais e verificados. O software deve ser ativado e atualizado com ferramentas / funções fornecidas por desenvolvedores legítimos; o uso de ferramentas de ativação ilegal (“cracking”) e atualizadores de terceiros pode levar a uma infecção. É recomendável ter um conjunto antivírus / anti-spyware confiável instalado e atualizado. É altamente recomendável usar esses programas para executar verificações regulares do sistema e remover as ameaças / problemas detectados. Se o seu computador já estiver infectado com o ZEPPELIN, recomendamos executar uma verificação com o Spyhunter para Windows para eliminar automaticamente esse ransomware.

Texto apresentado no arquivo de texto do ZEPPELIN ransomware (” !!! TODOS OS SEUS ARQUIVOS SÃO CRIPTOGADOS !!!. TXT “):

Captura de tela dos arquivos criptografados pelo ZEPPELIN (extensão aleatória hex 3×3):

Captura de tela de um arquivo criptografado com um marcador de arquivo adicionado (“ZEPPELIN):

Atualização 23 de dezembro de 2019 – Os criminosos cibernéticos iniciaram recentemente uma nova campanha de malware, que inclui o ransomware ZEPPELIN. Essas pessoas estão sequestrando redes de grandes empresas e injetando-as com a ferramenta de acesso remoto ScreenConnect (também conhecido como ConnectWise Control). A ferramenta em si é completamente legítima e frequentemente usada por especialistas em TI para fornecer suporte remoto. No entanto, também é uma ótima opção para cibercriminosos que desejam executar ações maliciosas remotamente. Como já mencionado, os criminosos injetam computadores de toda a rede com esta ferramenta e, em seguida, usam-na para executar vários comandos para roubar dados, baixar vários malwares (por exemplo, cavalos de Troia, ransomware, etc.) e executar outras ações maliciosas. Uma das cargas úteis é o ransomware ZEPPELIN. O malware está sendo baixado executando os scripts do prompt de comando (CMD) e do PowerShell.

Remoção do ransomware ZEPPELIN:

Passo 1

Usuários do Windows XP e Windows 7: Inicie o computador no Modo de Segurança. Clique em Iniciar, clique em Desligar, clique em Reiniciar, clique em OK. Durante o processo de inicialização do computador, pressione a tecla F8 do teclado várias vezes até ver o menu Opção Avançada do Windows e selecione Modo de Segurança com Rede na lista.

Usuários do Windows 8 : Inicie o Windows 8 no modo de segurança com rede, vá para a tela inicial do Windows 8, digite Avançado, nos resultados da pesquisa, selecione Configurações. Clique em Opções avançadas de inicialização, na janela aberta “Configurações gerais do PC”, selecione Inicialização avançada. Clique no botão “Reiniciar agora”. Seu computador agora será reiniciado no “menu Opções de inicialização avançadas”. Clique no botão “Solucionar problemas” e, em seguida, clique no botão “Opções avançadas”. Na tela de opções avançadas, clique em “Configurações de inicialização”. Clique no botão “Reiniciar”. Seu PC será reiniciado na tela Configurações de inicialização. Pressione F5 para inicializar no modo de segurança com rede.

Usuários do Windows 10 : clique no logotipo do Windows e selecione o ícone Energia. No menu aberto, clique em “Reiniciar” enquanto mantém pressionado o botão “Shift” no teclado. Na janela “escolha uma opção”, clique em “Solucionar problemas”, depois selecione “Opções avançadas”. No menu de opções avançadas, selecione “Configurações de inicialização” e clique no botão “Reiniciar”. Na janela seguinte, você deve clicar no botão “F5” no seu teclado. Isso reiniciará o sistema operacional no modo de segurança com a rede.

Passo 2

Faça login na conta infectada com o vírus ZEPPELIN. Inicie o seu navegador da Internet e baixe um programa anti-spyware legítimo. Atualize o software anti-spyware e inicie uma verificação completa do sistema. Remova todas as entradas detectadas.

Se você não conseguir iniciar o computador no Modo de Segurança com Rede, tente executar uma Restauração do Sistema.

1. Durante o processo de inicialização do computador, pressione a tecla F8 várias vezes até o menu Opções avançadas do Windows aparecer e, em seguida, selecione Modo de segurança com prompt de comando na lista e pressione ENTER.

2. Quando o modo Prompt de Comando carregar, digite a seguinte linha: cd restore e pressione ENTER.

3. Em seguida, digite esta linha: rstrui.exe e pressione ENTER.

4. Na janela aberta, clique em “Avançar”.

5. Selecione um dos pontos de restauração disponíveis e clique em “Avançar” (isso restaurará o sistema do seu computador para uma data e hora anteriores, antes que o vírus do ransomware ZEPPELIN se infiltre no seu PC).

6. Na janela aberta, clique em “Sim”.

7. Depois de restaurar o seu computador para uma data anterior, baixe e verifique o seu PC com o software de remoção de malware recomendado para eliminar os arquivos de ransomware ZEPPELIN restantes.

Para restaurar arquivos individuais criptografados por este ransomware, tente usar o recurso Versões anteriores do Windows. Este método só é eficaz se a função Restauração do Sistema estiver ativada em um sistema operacional infectado. Observe que algumas variantes do ZEPPELIN são conhecidas por remover cópias de volume de sombra dos arquivos; portanto, esse método pode não funcionar em todos os computadores.

Para restaurar um arquivo, clique com o botão direito do mouse sobre ele, vá em Propriedades e selecione a guia Versões Anteriores. Se o arquivo relevante tiver um ponto de restauração, selecione-o e clique no botão “Restaurar”.

Se você não conseguir iniciar o computador no modo de segurança com rede (ou com o prompt de comando), inicialize o computador usando um disco de recuperação . Algumas variantes do ransomware desabilitam o Modo de Segurança, dificultando a remoção. Para esta etapa, você precisa acessar outro computador.

Para recuperar o controle dos arquivos criptografados pelo ZEPPELIN, você também pode tentar usar um programa chamado Shadow Explorer . Mais informações sobre como usar este programa estão disponíveis aqui .

Para proteger seu computador contra ransomware de criptografia de arquivos como esse, use programas antivírus e anti-spyware respeitáveis. Como método de proteção extra, você pode usar programas chamados HitmanPro.Alert e EasySync CryptoMonitor, que implantam artificialmente objetos de política de grupo no registro para bloquear programas não autorizados, como o ransomware ZEPPELIN.

Observe que a Atualização Fall Creators do Windows 10 inclui um recurso ” Acesso controlado a pastas ” que bloqueia tentativas de ransomware para criptografar seus arquivos. Por padrão, esse recurso protege automaticamente os arquivos armazenados nas pastas Documentos, Imagens, Vídeos, Música, Favoritos e Área de trabalho.

Os usuários do Windows 10 devem instalar esta atualização para proteger seus dados contra ataques de ransomware. Aqui estão mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional contra infecções por ransomware.

Você conhece as minhas redes sociais? Caso não, acesse nos links abaixo e se cadastre para não perder as oportunidades de receber os links quando forem publicados.

Facebook: http://bit.ly/37y6ehM
Instagram: http://bit.ly/2N2h8EN

Em caso de dúvidas ou problemas na execução, pode deixar seu comentário que em breve responderemos.

Obrigado e até o próximo post.

Referência: https://www.pcrisk.com/removal-guides/16540-zeppelin-ransomware

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!