Guiden

Zepto virus: fjerning av ransomware og dekryptering av .zepto filer

Det later til at cyberkjeltringene som er ansvarlige for spredningen av Locky, en av de dominerende ransomwarene vi har blitt hjemsøkt av i år, har startet en ny kampanje med et par merkbare forskjeller utpressingstaktikken deres. Etterfølgeren, kalt Bart ransomware, er på sluppet løs og opererer samtidig med en ny lansering av den opprinnelige Locky. Bart plasserer ofrenes filer i ZIP-arkiver som ikke kan åpnes med mindre brukeren har korrekt passord for å låse opp arkivet. Den fornyede utgaven av den beryktede Trojaneren legger i sin tur .zepto forlengelsen til de nå så besværlige objektene.

Denne reinkarnasjonen av Locky forurenser Windows-maskiner via spam som inneholder en smittsom loader, som egentlig er en diffus Javascript-enhet. Forfatterne har tydeligvis byttet til et annet botnet etter at den forrige kampanjen deres døde ut for noen måneder siden. Den omforente arbeidsflyten er omtrent som før; intetanende brukere mottar en fengende e-post som oppfordrer dem til å åpne skadelige vedlegg. Utførelsen av ransomwaren er fordekt nok til at ofrene bare merker skadevirkningene.

Skadeprogrammet leter i det skjulte etter personlige filer på maskinens lokale stasjoner, flyttbare disker og kartlagte nettverksbaner. Når listen er klar benytter Trojaneren AES-128 kryptering for å kryptere hver eneste fil, og benytter deretter det asymmetriske RSA-2048 kryptosystemet for å kode dem med den hemmelige krypteringsnøkkelen.

_HELP_instructions.bmp
_HELP_instructions.bmp

Etter å ha utført de komplekse datakrypteringsmanipulasjonene gjør den ondsinnede programvaren filnavn ugjenkjennelige og kjeder alle filene sammen med .zepto utvidelsen. Dette resulterer i tilfeldige navn på dataobjekter som f.eks. D9FC508E-0B2C-82EED365C05D.zepto. Randomwaren endrer også skrivebordsbildet i Windows til _HELP_instructions.bmp og oppretter en ny fil med navnet _HELP_instructions.html i hver krypterte mappe, samt på skrivebordet. Dette er løsepengeinstruksjoner som inneholder offerets personlige identifikasjons-ID, flere Tor-lenker for å motta den private nøkkelen, og følgende advarsel: «Alle filene dine er kryptert med RSA-2048 og AES-128 koder». Bandittene fortsetter med å slå fast at «dekryptering av filene dine er bare mulig med den private nøkkelen og dekrypteringsprogrammet som befinner seg på vår hemmelige server».

.zepto filer
.zepto filer

Når offeret følger en av Tor-gatewayene som er oppført i _HELP_instructions.html (.bmp) dokumentet, ender de opp på siden «Locky Decryptor Page». Siden er skreddersydd for å sende betalinger til en unik Bitcoin-adresse og laste ned dekrypteringsprogrammet. Løsepengene som kjeltringene krever for at du skal kunne gjenopprette filene dine er på 0,5 Bitcoins, eller ca. 300 USD. Hvis et stort bedriftsnettverk blir offer for denne ransomwaren vil «frikjøpet» mest sannsynlig forutsette en høyere betaling.

At Locky ransomwaren nå er tilbake er definitivt dårlige nyheter for sikkerhetsindustrien og sluttbrukere over hele verden. Gjengen som står bak har vist seg å være ambisiøs nok til å prøve og endre status quo på utpressingsarenaen, så utbredelsen av angrepet er sanssynligvis enorm. Mens det for øyeblikket ikke finnes noen god løsning for å gjenopprette de låste dataene, kan noen gjenopprettingsteknikker være til hjelp.

Automatisk fjerning av Zepto filviruset

Fjerning av denne ransomwaren kan gjøres effektivt med pålitelig sikkerhets-programvare . Å benytte en automatisk oppryddingsteknikk sikrer at alle infeksjons-komponentene blir grundig fjernet fra systemet.

  1. Last ned det anbefalte sikkerhetsverkyøyet og sjekk PC’en din for skadelige objekter ved å velge alternativet Start Computer Scan.
  2. Skanningen resulterer i en liste over oppdagede objekter. Klikk Fix Threats for å fjerne viruset og beslektede infeksjoner fra systemet ditt. Gjennomføringen av denne fasen av renseprosessen vil mest sannsynlig føre til at virusinfeksjonen blir fjernet fullstendig. Nå står du overfor en større utfordring – å prøve å gjenopprette dataene dine.

Metoder for å gjenopprette filer kryptert av .zepto files ransomware

Løsning 1: Bruk programvare for filgjenoppretting

Det er viktig å være klar over at Locky-viruset lager kopier av filene og krypterer kopiene. I denne prosessen blir de originale filene slettet. Det finnes programmer som kan gjenopprette slettede data. Du kan prøve verktøy som Data Recovery Pro til dette. Det synes som om den nyeste versjonen av ransomwaren vi drøfter her benytter sikker sletting med flere overskrivninger, men denne metoden er i alle fall verdt et forsøk.
Data Recovery Pro

Løsning 2: Benytt backup-kopier

Dette er først og fremst en meget god metode for gjenoppretting av filer. Den kan imidlertid kun benyttes hvis du har backup av informasjonen du har lagret på maskinen din. Hvis det er tilfellet kan du dra nytte av forutseenheten din.

Løsning 3: Bruk skyggevolum-kopier

Hvis du ikke allerede er klar over det, lager operativsystemet såkalte skyggevolum-kopier dersom Systemgjenoppretting er aktivert på maskinen. Ettersom gjenopprettingspunkter blir opprettet med spesifikke intervaller, blir det også generert bilder av filer. Du bør være klar over at det ikke er sikkert at de siste versjonene av filene dine blir gjenopprettet med denne metoden. Men det er i alle fall verdt å prøve. Denne metoden kan benyttes på to måter: manuelt og ved å benytte en automatisk løsning. Vi ser først på den manuelle metoden.

  • Bruk funksjonen Tidligere versjoner

    Dialogboksen Egenskaper for tilfeldige filer har en fane som heter Tidligere versjoner. Det er der de sikkerhetskopierte versjonene vises og kan gjenopprettes fra. Høyreklikke på en fil, gå til Egenskaper, klikk den ovennevnte fanen og velg alternativet Kopier eller Gjenopprett , avhengig av plasseringen du vil at den skal gjenopprettes til.
    Tidligere versjoner

  • Bruk ShadowExplorer

    Prosessen beskrevet ovenfor kan automatiseres med et program som heter ShadowExplorer. Det gjør i utgangspunktet det samme (henter Shadow Volume- eksemplarer), men på en mer praktisk måte. Last ned og installer programmet, kjør det og gå til filer og mapper hvis tidligere versjoner du ønsker å gjenopprette. For å gjøre dette høyreklikker du på oppføringene og velger Export -funksjonen.
    ShadowExplorer

Verifiser at .zepto filutvidelsesviruset er fullstendig fjernet

Igjen, å bare fjerne Locky ransomware fører ikke til at dine personlige filer blir gjenopprettet. Det er usikkert om metodene for datagjenoppretting nevnt ovenfor vil gjøre jobben, men selve ransomwaren hører ikke til i datamaskinen din. Den kan havne der sammen med annen skadelig programvare, noe som tilsier at det absolutt er fornuftig å skanne systemet jevnlig med automatisk sikkerhetsprogramvare for å sikre at det ikke finnes rester av dette viruset eller tilknyttede trusler i Windows-registeret eller andre steder.

Comment here