Zepto ransomware malware

Nueva amenaza apodado Zepto ransomware se está extendiendo a cabo con una nueva campaña de spam de correo electrónico. Es una variante de la reciente Locky ransomware.

por Oscar olg Julio 7, 2016

clasesordenador.com

La noticia fue publicada recientemente en un blog posterior por el equipo de Cisco Talos:

"Estamos observando Zepto con mucho cuidado. Está estrechamente ligada a Locky, compartiendo muchos de los mismos atributos, "dijo Craig Williams, líder técnico senior y gerente de alcance global en Cisco Talos.

"Todavía hay mucho que aprender acerca de Zepto. Por lo que podemos decir, que es ya sea una nueva variante de Locky o un totalmente nuevo ransomware con muchas características de imitación Locky ", dijo.

En la última semana, los expertos observaron más de 140.000 mensajes de correo electrónico según una nomenclatura especial para entregar un archivo adjunto malicioso.

Que el correo electrónico es generado por un cuerpo de texto plantilla, donde se vende por el saludo al azar de una matriz seguido de [NOMBRE] del receptor de cabeza.

Como variantes anteriores de la misma familia de malware, el texto del correo electrónico intenta engañar a la víctima a abrir el archivo adjunto.

El archivo adjunto es un archivo .zip que contiene el programa de descarga no modificable js.

Las convenciones de nombres usados para cambiar el nombre del descargador js tener el siguiente formato "rápida [XXX | XXXX] .js", donde X son una combinación de letras (af) y números (0-9).

Una vez que el archivo js se ejecuta a través wscript que descarga el binario principal carga de los servidores C2.

Muchos de ellos tienen una lista de dominios codificados para descargar el binario, otras variaciones usan apenas unos pocos dominios.

Esto se hace a través de peticiones HTTP GET para definir dominios C2 y las funcionalidades de servidor se implementan en PHP.

Se ha observado a través de análisis dinámico que utiliza la misma técnica de Locky ransomware para descifrar la carga útil principal, generando el proceso a través wscript con el argumento de '321', de lo contrario, la rutina de descifrado producirá el código basura y el flujo de ejecución va a saltar en esa basura código y bloquear el proceso.

Los archivos cifrados tienen las extensiones ".zepto" y que se dirige a los archivos mismas extensiones de Locky el cuidado de los archivos del sistema, que utiliza una gran cantidad de código de Locky ransomware para poner en práctica sus comportamientos maliciosos.

Una de las características más inteligentes del ransomware es el hecho de que no cifrar todos los archivos necesarios para el correcto funcionamiento del sistema operativo, de lo contrario, ¿cómo pueden pagar a las víctimas?

Una vez que la rutina de cifrado de todos los archivos es más, muestra las instrucciones sobre cómo obtener los archivos de nuevo: una fotografía (_HELP_instructions.jpg) y una página HTML (_HELP_instructions.html) se le pide a la víctima por la explicación sobre cómo desbloquear los archivos.

COMO DESENCRIPTAR LOS ARCHIVOS .ZEPTO

Hay varias posibles soluciones para recuperar los archivos encriptados por el malware ZEPTO

SOLUCIÓN 1

1 Haz click con el boton derecho del raton sobre un archivo de extension zepto
2 En la opcion propiedades vera una opción llamada versiones anteriores, aparecera una opción para copiar o restaurar ese archivo en otra carpeta en una versión anterior.

Hay una aplicación gratuita llamada shadowexplorer que te realiza esta tarea automaicamente. Puedes descargarla de su pagina oficial AQUI

SOLUCIÓN 2

Descarga este software de la empresa de seguridad y antivirus paretologic desde su pagina oficial AQUI y sigue las instrucciones. El archivo que se descarga es un .exe de 2.8 megas

1. Haga clic en el botón para descargar el instalador de código auxiliar y pasar por varios cuadros de diálogo de configuración. Una vez que la herramienta está en funcionamiento, haga clic en Inicio Análisis del Equipo
2. Espere hasta que el limpiador comprueba el PC para Zepto archivos ransomware código malicioso. Tan pronto como se haya completado la exploración, el informe mostrará una lista de todos los objetos de malware detectadas en el sistema. Asegúrese de que se comprueban las entradas para las infecciones detectadas, y seleccionar la corrección disponen de Amenazas. Esto dará como resultado el malware remoción y remediación del sistema, por lo que ahora debe ser bueno para ir.

El virus en realidad se ocupa de las copias de los archivos. se han eliminado los originales. Los datos extraídos todavía se pueden restaurar en virtud de herramientas tales como la recuperación de datos de Pro.

Los archivos .zepto cifrado ransomware es una modificación de datos sofisticada. No existe una solución simple y única para cubrir todos los casos. Transferir el rescate según lo exigido por los ladrones no es el camino tampoco. Por favor aplicar los métodos descritos a continuación, ya que han sido cuidadosamente desarrollado para proporcionar una ayuda de recuperación para los casos más graves de agresiones al cifrar.