Zepto ransomware - Como remover?

 

O ransomware Zepto é uma nova versão do Locky ransomware lançado no dia 27 de Junho de 2016. Tal como o seu antecessor, utiliza um algoritmo de encriptação assimétrico (RSA-2048 e AES-128). Mas há algumas peculiaridades desta nova variante.

Sobre o ransomware Zepto

O ransomware Zepto está escrito em JS (JavaScript). Uma vez que entre no seu sistema, o Windows executa o módulo wsscript.exe e executa o código. Nenhumas verificações de código são levadas a cabo nem são realizados exames de segurança. O executável .js liga-se ao servidor C&C (Command&Control) para descarregar a carga do ransomware. E, uma vez que esteja descarregado, o vírus de codificação examina o sistema informático e bloqueia a informação. Ele é direcionado aos ficheiros com as seguintes extensões.

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

O cryptomalware Zepto altera o nome dos ficheiros encriptados para um nome de ficheiro enorme. Um exemplo do nome de um ficheiro encriptado – 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto. A identificação da vítima seriam os primeiros 16 caracteres do nome do ficheiro, ou seja 024BCD3341D1ACD3. Este vírus de encriptação também altera o tipo do ficheiro, que depois se transformam em ficheiros ZEPTO. Numa nota interessante, este codificador escreve por cima dos ficheiros e apaga as versões originais. O ficheiro _HELP_instructions.bmp, contendo a nota de resgate, substitui o fundo do ambiente de trabalho. Ficheiros _HELP_instructions.html são deixados em todas as pastas de ficheiros encriptados e no ambiente de trabalho da vítima. A nota diz o seguinte:

!!! INFORMAÇÃO IMPORTANTE !!!

Todos os seus ficheiros estão encriptados com cifras RSA-2048 e AES-128.

Mais informação sobre o RSA e AES pode ser encontrada aqui:

[ligações para a wikipédia]

A desencriptação dos seus ficheiros só é possível com a chave privada e programa de desencriptação, que está no nosso servidor secreto.

Para receber a sua chave privada siga uma das ligações

[Ligações web para Tor dadas]

Se nenhum destes endereços estiver disponível, siga estes passos:

[as instruções sobre como descarregar e instalar o Navegador Tor são dadas]

!!! O seu identificador pessoal: A2E4B02F73265D55 !!!

Apesar de não estar divulgado na nota, o resgate é do mesmo tamanho daquele do ransomware Locky – 0.5 BTC (Bitcoins) equivalendo a 319.86 USD neste momento. Não é uma quantia enorme de dinheiro, mas ainda assim seria uma pena perdê-la.

Como é que o Ransomware Zepto é distribuído?

O vírus Zepto é um vírus troiano. Ele espalha-se através deu um ficheiro .js infetado, que se parece com ficheiros .doc ou .pdf, e depois são adicionados a e-mails e enviados para as vítimas. Estes e-mails caem na pasta de spam das contas de e-mail dos utilizadores atingidos. Eles estão disfarçados de documentos importantes emitidos por companhias legítimas. Estas podem ser PayPal, FedEx, as suas instituições locais tais como a Alfândega, etc. Uma vez que o anexo esteja aberto, todos os males estão libertados.

Como desencriptar ficheiros encriptados pelo Ransomware Zepto?

O vírus ransomware Zepto, tal como o ransomware Locky, ainda é indecifrável. Muito provavelmente, se o desencriptador para o Locky for desenvolvido, irá também servir para o Zepto. Mas, para já, a única solução para recuperar a sua informação é aplicar ferramentas de recuperação de dados tais como software de Kaspersky Lab, R-Studio, PhotoRec, etc. Parece que este encriptador, da mesma forma que o Locky, apaga as Shadow Volume Copies. Por isso o Shadow Volume Service, mesmo que utilizado, não lhe servirá de nada. Já agora, se armazenar cópias dos seus ficheiros nalgum dispositivo externo de armazenamento de dados ou serviços, está salvo. Caso contrário, a única solução continua a ser a recuperação de informação com ferramentas profissionais. Seria sensato da sua parte fazer uso de algum disco rígido ou, por exemplo, Serviço de Nuvem no futuro. A recuperação de ficheiros não é a única coisa que deve fazer. Ainda mais importante, tem de remover o ransomware. Empregue ferramentas de remoção automática de malware como SpyHunter ou Hitman. Eles irão examinar o sistema informático para que nenhum vírus ou sobras restem. As instruções para remoção manual do vírus Zepto são fornecidas abaixo.

Como remover Zepto ransomware usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos

para Windows 7 / Vista/ XP

● Iniciar → Encerrar → Reiniciar → OK.

● Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.

● Escolha o Modo de Segurança com Janela de Comandos.

para o Windows 8 / 10

● Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.

● Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.

● Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.

2. Restaurar os ficheiros e definições de Sistema.

● Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.

● Depois digite rstrui.exe e pressione Enter novamente.

● Clique em “Próximo” na janela que apareceu..

● Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.

● Para arrancar com o sistema clique em “Sim”.

3. Remoção complete do Zepto virus

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, comoSpyhunter e remova todos os ficheiros maliciosos relacionados com Zepto ransomware.

4. Restaure os ficheiros afetados pelo Zepto virus usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Zepto ransomware tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

 

Ferramentas para remoção automática de Zepto ransomware

 

Outras ferramentas

 
  0   0
    Malwarebytes Anti-Malware
  0   0
    Hitman Pro
 
  Baixar Spyhunter para Zepto ransomware detecçãoNota: julgamento Spyhunter fornece detecção de parasita como Zepto ransomware e auxilia na sua remoção de forma gratuita. Você pode remover os arquivos detectados, processos e entradas de registro você mesmo ou comprar uma versão completa.
  We might be affiliated with some of these programs. Full information is available in disclosure             
     

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *