Zepto ransomware - Hur tar man bort

Zepto ransomware är en ny version av Locky ransomware släppt den 27’e Juni 2016. Precis som sin föregångare så använder det asymmetrisk (RSA-2048 och AES-128) krypteringsalgoritmer. Men det finns några säregenheter till denna nya variant.

Om Zepto Ransomware

Zepto ransomware är skriven i JS (Javascript). Då det väl tagit sig in i ditt system så kommer Windows att köra wsscript.exe modulen och köra skriptet. Ingen kodverifiering utförs, inte heller några säkerhetsgenomsökningar utförs. Den körbara .JS filen ansluter sig till C&C (Command & Control) servern och laddar ned lasten av detta ransomware. Väl nedladdat så genomsöker det kodade viruset systemet och låser data. Det riktar in sig på filer med följande filändelser:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

 

 

Zepto Cryptomalware döper om de krypterade filerna till en enormt långt filnamn. Ett exempel på ett namn på en krypterad fil kan vara – 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto. Offrets ID blir de första 16 siffrorna av filnamnet vilket i det här fallet är 024BCD3341D1ACD3. Krypteringsviruset byter även ut typen av filen vilket senare blir ZEPTO filer. En intressant notering är att kodaren skriver över filer och raderar originalversionerna. _HELP_instructions.bmp filen innehållande meddelandet för lösensumman, byter ut skrivbordsbakgrunden. _HELP_instructions.html filen släpps i varje mapp av de krypterade filerna och på offrets skrivbord. Meddelandet lyder följande:

!!! IMPORTANT INFORMATION !!!

 

All of your files are encrypted with RSA-2048 and AES-128 ciphers.

More information about the RSA and AES can be found here:

[links to wikipedia]

 

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.

To receive your private key follow one of the link

[Tor Web links given]

 

If all of this addresses are not available, follow these steps:

[the instructions on how to download and install Tor Browser are given]

 

!!! Your personal identification ID: A2E4B02F73265D55 !!!

 

 

Även fast det inte nämns i meddelandet så är lösensumman av samma storlek som Locky’s ransomware, alltså 0.5 BTC (Bitcoinds) vilket motsvarar 319.86 USD för tillfället. Inte en enorm summa pengar, men tillräcklig för att det vore synd att förlora.

Hur sprids Zepto ransomware?

Zepto ransomware är ett trojan virus. Det sprids via infekterade .JS filer som ser ut som .Doc eller .PDF filer och läggs till i E-post meddelanden som skickas till offret. Dessa E-post meddelanden faller i skräppost mappen hos de riktade användarna. Det förklär sig som viktiga dokument utfärdade av legitima företag. Dessa kan vara PayPal, FedEx, dina lokala institut som t.ex. Tullen m.m. När det bifogade innehållet väl öppnats så släpps all ondska ut.

Hur dekrypterar man filer som krypterats av Zepto ransomware?

Zepto ransomware viruset, precis som Locky ransomware, är fortfarade inte möjlig att dekryptera. Med största sannolikhet, om en dekrypterare utvecklas för Locky, då kommer den fungera för Zepto med. Men för tillfället så är det enda alternativet för att återfå din data är genom ett återställningsverktyg som t.ex. Kaspersky Lab, R-Studio, PhotoRec m.m. Det verkar som att denna krypterare, lik Locky, raderar Shadow Volume kopior, så Shadow Volume tjänsten kommer inte komma till någon användning. Förresten, om du har lagrat kopior på dina filer på en extern enhet eller tjänst, då är du räddad. Om inte så är det enda alternativet en återställning av data med proffesionella verktyg. Det vore klokt att du använder lite diskutrymme eller t.ex. Moln-lagring i framtiden. Återställandet av filerna är inte det enda du måste göra, än mer viktigt är att ta bort det ransomware som ligger i vägen. Kör Reimage, Spyhunter eller Hitman automatiska anti-skadeprogram. De kommer att genomsöka din dator så inga virus eller andra skadliga rester finns kvar. Manuella instruktioner om hur man eliminerar Zepto viruset tillhandahålls nedan.

Hur du tar bort Zepto ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken

För Windows 7/ Vista/ XP

• Start -> Stäng av -> Starta om -> OK.
• Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
• Välj Felsäkert Läge med Kommandotolken.

För Windows 8/ 10

• Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om.
• Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
• När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.

Återställ systemfiler och inställningar.

• När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
• Skriv sedan in Rstrui.exe och tryck Enter igen.
• Klicka på "nästa" i fönstret som visas.
• Välj en av Återställningarna som finns tillgängliga innan Zepto virus infiltrerade datorn och klicka sedan på "nästa".
• För att starta systemåtersällning, klicka "Ja".

2. Total borttagning av Zepto ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till Zepto virus.

3. Återställ Zepto ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker Zepto virus radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad.

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.