Zepto ransomware è la nuova versione di Locky ransomware rilasciata il 27 giugno 2016. Come il suo predecessore, utilizza un algoritmo asimmetrico di cifratura (RSA-2048 e AES-128). Ci sono tuttavia alcune novità in questa variante.
Su Zepto Ransomware
Zepto ransomware è scritto in JS (Javascript). Una volta all’interno del tuo sistema, Windows avvierà il modulo wsscript.exe ed eseguirà lo script. Non verrà condotta alcuna verifica dei codici o scansioni di sicurezza. L’eseguibile .js si connetterà al server C&C (Command&Control) per scaricare la restante parte del ransomware. Una volta scaricata, il virus scansionerà il sistema e bloccherà dei dati. Mirerà ai file con le seguenti estensioni:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.
Zepto cryptomalware rinominerà i file criptati con un enorme filename. Un esempio di un nome di un file criptato potrebbe essere – 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto. L’ID della vittima sarà rappresentato dai primi 16 caratteri del filename, ovvero 024BCD3341D1ACD3. Questo virus cifratore modificherà anche il tipo di file, che verrà trasformato in ZEPTO. Una altro cosa interessante è che, questo codificatore, è in grado di sovrascrivere i file e cancellare le versioni precedenti. Il file di istruzioni _HELP_instructions.bmp, contenete il testo del riscatto, sostituirà l’immagine del tuo desktop. Il file _HELP_instructions.html verrà invece inserito in ogni cartella in cui è presente un file criptato e sul desktop della vittima. Il testo recita come segue:
!!! IMPORTANT INFORMATION !!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
[links to wikipedia]
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the link
[Tor Web links given]
If all of this addresses are not available, follow these steps:
[the instructions on how to download and install Tor Browser are given]
!!! Your personal identification ID: A2E4B02F73265D55 !!!
Sebbene non venga dichiarato nella nota, l’importo del riscatto è lo stesso del ransomware Locky – 0.5 BTC (Bitcoins) corrispondente in questo momento a circa 319.86 USD. Non una gran quantità di denaro, ma sarebbe sempre un peccato doverli perdere.
Come viene distribuito Zepto Ransomware?
Zepto virus è un trojan virus. Viene diffuso tramite file .js infetti, che potrebbero assomigliare a file .doc o .pdf, ed essere aggiunti a delle email e inviati alle vittime. Queste email solitamente vengono spostate nella cartella dello spam degli utenti. Vengono camuffati come importanti documenti emessi da compagnie legittime. Potrebbero essere PayPal, FedEx, istituzioni locali, come Dogana, etc. Una volta che l’allegato sarà aperto, il virus sarà rilasciato.
Come decriptare di file cifrati da Zepto Ransomware?
Zepto ransomware virus, così come Locky ransomware, è ancora indecifrabile. Molto probabilmente, se si riuscisse a sviluppare un decifratore per Locky, andrebbe bene anche per Zepto. Ma per il momento, l’unica soluzione è quella di recuperare i dati tramite dei tool di recovery tool come Kaspersky Lab, R-Studio, PhotoRec, etc. Sembrerebbe che questo cifratore, così come Locky, cancelli le copie di volume Shadow. In questo modo il servizio di volume Shadow sarà inutilizzabile. Comunque sia, se avessi salvato una copia dei tuoi file in dispositivo esterno, sei salvo. Nel caso in cui non l’avessi fatto, l’unica soluzione che ti rimane è quella di provare a recuperare i dati con dei tool professionali. In futuro, sarebbe saggio utilizzare hard drive, come ad esempio Cloud Service. Il ripristino dei file non è l’unica cosa da fare. E’ anche molto importante che venga rimosso il ransomware. Utilizza Spyhunter o Hitman come tool di rimozione automatica. Scansioneranno il tuo sistema per accertarsi che non ci siano virus o rimanenze. Istruzioni su come rimuovere manualmente Zepto virus sono invece fornite in basso.
Come rimuovere Zepto ransomware utilizzando il Ripristino di Sistema?
1. Riavvia il tuo computer in Modalità Provvisoria con Prompt di Comandi
Per Windows 7 / Vista/ XP
- Start → Spegni → Riavvia → OK.
- Premi ripetutamente F8 finché non apparirà una finestra contenente le opzioni avanzate di avvio.
- Scegli la Modalità Provvisoria con Prompt di Comandi.
Per Windows 8 / 10
- Premi Power nella schermata di login di Windows. Successivamente tieni premuto Shift e clicca su Riavvia.
- Scegli Troubleshoot → Opzione Avanzate → Impostazioni di avvio e clicca Riavvia.
- Non appena si caricherà, seleziona Abilita Modalità Provvisoria con Prompt di Comandi dalla lista delle impostazioni di avvio.
2. Ripristinare i file di sistema e le impostazioni
- Una volta caricato il Prompt dei Comandi, inserisci cd restore e premi invio.
- Successivamente digita rstrui.exe e premi nuovamente invio.
- Clicca “Avanti” nelle finestre che appariranno.
- Seleziona uno dei punti di ripristino disponibili prima che Zepto virus si sia infiltrato nel tuo sistema e clicca su “Avanti”.
- Per avviare il ripristino di sistema clicca su "Si"
2. Rimozione complete di Zepto ransomware
Dopo aver ripristinato il tuo sistema, ti consigliamo di scansionare il tuo computer con un anti-malware, come Spyhunter per rimuovere tutti i file malevoli collegati a Zepto virus.
3. Ripristino dei file corrotti da Zepto ransomware utilizzando le Copie Shadow
Se non utilizzassi le opzioni di ripristino di sistema nel tuo sistema operativo, esiste anche la possibilità di utilizzare gli snapshot delle copie shadow. Queste ultime salvano copie dei tuoi file nel momento in cui lo snapshot viene creato. Solitamente Zepto virus cercherà di cancellare tutte le copie Shadow esistenti, per questo motivo questo metodo potrebbe non funzionare su tutti i computer. Tuttavia, provare non costa nulla.
Le Copie Shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie Shadow. Potrai farlo sia tramite le versioni precedenti di Windows sia tramite Shadow Explorer.
a) Versioni precedenti di WindowsClicca con il destro sul file criptato e seleziona Proprietà>Versioni precedenti. Adesso sarai in grado di vedere tutte le copie esistenti di quel particolare file e il momento in cui sono state salvate come Copie Shadow. Scegli la versione del file che vuoi recuperare e clicca su Copia, nel caso in cui volessi salvarlo in una directory di tua scelta. O Ripristina nel caso in cui volessi sostituirlo con quello esistente, ovvero il file criptato. Se volessi vedere prima il suo contenuto, clicca su Apri.
E’ un programma che può essere trovato online gratuitamente. Potrai scaricare sia la versione completa sia quella portatile di Shadow Explorer. Apri il programma. Nell’angolo superiore sinistro seleziona il drive in cui hai salvato il file che vuoi ripristinare. Adesso vedrai tutte le cartelle presenti il quel drive. Per selezionare un’intera cartella, clicca con il destro e seleziona “Esporta”. Successivamente scegli dove vuoi che venga salvata.
Nota: In molti casi è impossibile ripristinare i file corrotti dai moderni ransomware. Per questo motivo ti consiglio di utilizzare per precauzione un buon software per il backup su cloud. Ti consiglio di dare un’occhiata a Carbonite, BackBlaze, CrashPlan o Mozy Home.
Strumenti di Malware rimozione automatica
(Win)
Nota: processo Spyhunter fornisce la rilevazione del parassita come Zepto Ransomware e aiuta a la sua rimozione per libero. prova limitata disponibile, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: processo Combo Cleaner fornisce la rilevazione del parassita come Zepto Ransomware e aiuta a la sua rimozione per libero. prova limitata disponibile,
Mi ha infettato tutto il pc fino al punto di non accemdersi piu,ma avevo un programma di reboot e ho ripristinato tutto compreso i file all’interno senza altro.
ciao ! mi è successa la stessa cosa con windows 10. Ho scaricato Reimage per zepto, ho fatto la scansione e sono due giorni che il pc è rimasto bloccato sulla schermata iniziale di windows . Mi ha infettato anche l’hard disk esterno. Potrei sapere il nome del programma di reboot forse in questo modo riesco a salvare pc e documenti. Grazie 1000
Consultare il sostegno di re-imaging. Essi dovrebbero risolvere il problema di avvio.
Anche i file .ASC vengono criptati
Ho assolutamente bisogno di decriptare i file dal mio pc è di vitale importanza. Come posso fare?? Vi prego aiutatemi