Cybercrooks odpowiedzialni za dystrybucję Locky, czyli jednej z dominujących plag ransomware bieżącego roku, wydaje się, że rozpoczęli nową akcję z kilkoma rzeczowymi różnicami dokonanymi w ich taktyce wymuszeń. Nowy następca nazwany Bart ransomware został wypuszczony, i działa równolegle z nową iteracją właściwego Locky. Bart dodaje cenne pliki swoich ofiar do archiwum ZIP, które nie mogą być otwarte, chyba że użytkownik posiada odpowiednie hasło, aby odblokować archiwum. Zmodyfikowana edycja osławionego Trojana, z kolei, dołącza .zepto rozszerzenie do kodowanych obiektów.
To wcielenie Locky zanieczyszcza komputery z systemem Windows za pośrednictwem spamu z zainfekowanym ładunkiem, który w rzeczywistości ukrywa podmiot JavaScript. Oczywiście, jego autorzy przełączyli się na inny botnet po upadku ich poprzedniej akcji kilka miesięcy temu. Kompromis obiegu pracy jest bardzo podobny do tego poprzedniego: niczego nie podejrzewający użytkownik otrzymuje podchwytliwą wiadomość e-mail, która zachęca do otworzenia szkodliwego załącznika. Spustoszenie tego ransomware jest wystarczająco ukryte dla ofiary, która tylko zauważy następstwa już po fakcie.
Naruszający przepisy program dyskretnie szuka osobistych plików na dyskach lokalnych urządzenia, tych wymiennych i odwzorowuje ścieżki sieciowe. Gdy lista jest już gotowa, Trojan wykorzystuje szyfr AES-128 do szyfrowania każdego pliku, a następnie stosuje asymetryczny kryptosystem RSA-2048 do kodowania tajnego klucza deszyfrowania.
_HELP_instructions.bmp
Po wykonaniu skomplikowanych operacji szyfrowania danych, wirus sprawia, że nazwy plików są niedostrzegalne i łączą ze sobą rozszerzenie .zepto. W rezultacie przypadkowy element danych pobiera nazwę podobną do D7F6EEBA-D9FC508E-0B2C-82EED365C05D.zepto. Zmienia się również obraz pulpitu systemu Windows na _HELP_instructions.bmp i tworzy nowy plik o nazwie _HELP_instructions.html wewnątrz każdego zaszyfrowanego folderu, jak również na prawidłowym Pulpicie. Są to instrukcje okupu, które zawierają osobistye informacje ofiary, kilka linków Tora do otrzymania prywatnego klucza, oraz następujący komunikat ostrzegawczy: „Wszystkie twoje pliki są zaszyfrowane przy użyciu szyfrów RSA-2048 oraz AES-128”. Sprawcy chcą powiedzieć „Deszyfrowanie twoich plików jest możliwe tylko za pomocą prywatnego klucza i programu deszyfrującego, który znajduje się na naszym tajnym serwerze”.
.zepto rozszerzenia plików
Kiedy ofiara podąża za jedną z bramek Tora wymienionych w instrukcjach _HELP_instructions.html (.bmp) dokumentu, kończy na stronie deszyfrującej Locky „Locky Decryptor Page”. Strona jest dostosowana specjalnie do składania płatności na podstawie unikalnego adresu Bitcoin pobierając dekryptor. Okup, jaki wymagają przestępcy wynosi 0,5 Bitcoin, czyli około 300 USD. Jeśli duża sieć przedsiębiorstwa pada ofiarą tego ransomware, wykup najprawdopodobniej będzie kosztował więcej.
Powrót ransomware Locky jest zdecydowanie złą wiadomością dla branży bezpieczeństwa i końcowych użytkowników na całym świecie. Stojący za tym gang okazał się na tyle ambitny, aby spróbować zmienić status quo na arenie wymuszeń, więc powierzchnia ataku prawdopodobnie będzie ogromna. Zważywszy, że naprawa, która mógłaby przywrócić zablokowane dane w tym momencie nie jest opłacalna, to niektóre techniki odzyskiwania mogą być pomocne.
Usunięcie tego ransomware może być skutecznie zrealizowane z niezawodnym oprogramowaniem zabezpieczającym. Trzymanie się techniki automatycznego czyszczenia zapewnia, że wszystkie elementy wirusa zostaną dokładnie usunięte z systemu.
Rozwiązanie 1: Wykorzystanie oprogramowania do odzyskiwania plików
Ważne jest, aby wiedzieć, że wirus Locky tworzy kopie plików i szyfruje je. W międzyczasie, oryginalne pliki zostają usunięte. Istnieją aplikacje, które mogą odzyskać usunięte dane. Do tego celu można korzystać z narzędzi, takich jak Data Recovery Pro. Najnowsza wersja tego ransomware bierze pod uwagę tendencję do zastosowania bezpiecznego usunięcia z kilkoma zastąpieniami, ale w każdym razie ta metoda jest warta spróbowania.
Rozwiązanie 2: Skorzystaj z kopii zapasowych
Przede wszystkim, jest to świetny sposób na odzyskanie plików. Jest to możliwe, jeśli tworzyłeś kopie zapasowe danych przechowywanych na komputerze. Jeśli tak, to skorzystasz ze swojej przezorności.
Rozwiązanie 3: Użyj Kopii Woluminów w Tle (Shadow Volume Copies)
W przypadku, jeśli nie wiedziałeś, system operacyjny tworzy tzw. Kopie Woluminów w Tle każdego pliku dopóki na komputerze jest włączone Przywracanie Systemu (System Restore). Punkty przywracania są tworzone w określonych odstępach czasu oraz są również generowane zrzuty plików, które pojawiają się w danej chwili. Należy pamiętać, że ta metoda nie zapewnia zwrotu najnowszych wersji plików. Jednak na pewno warto spróbować. Ten obieg pracy można wykonać na dwa sposoby: ręcznie, poprzez zastosowanie automatycznego rozwiązania. Więc najpierw przyjrzyjmy się procesowi ręcznemu.
Właściwości dla losowych plików posiada zakładka Poprzednie Wersje. To tu zapisane są poprzednie wersję i są one wyświetlane, stąd mogą być odzyskane. Dlatego kliknij prawym przyciskiem myszy na plik, idź do Właściwości, wybierz wymienioną powyżej zakładkę i wybierz Kopiuj lub opcję Otwórz, w zależności od lokalizacji, w której chcesz je odzyskać
Powyższy proces może być zautomatyzowany narzędziem nazwanym ShadowExplorer. Właściwie dokonuje tej samej rzeczy (odzyskanie Kopii Rozmiaru Cienia), ale w bardziej przystępny sposób. Dlatego pobierz i zainstaluj aplikację, odpal ją oraz przeglądaj pliki i foldery, których poprzednie wersje chciałbyś odzyskać. By wykonać to zadanie, kliknij prawym przyciskiem na jakikolwiek wpis i wybierz opcję Export
Ponownie, samo usunięcie ransomware Locky nie prowadzi do deszyfrowania plików osobistych. Metody przywracania danych określone powyżej, mogą lub też nie załatwić sprawę, ale samo ransomware nie będzie znajdować się już wewnątrz komputera. Nawiasem mówiąc, to złośliwe oprogramowanie pojawia się wraz z innym, dlatego na pewno ma sens wielokrotne skanowanie systemu z automatycznym oprogramowaniem zabezpieczającym w celu upewnienia się, że żadne szkodliwe pozostałości tego wirusa i związane z nimi zagrożenia nie zostały w Rejestrze systemu Windows i innych miejscach.
Pobierz oprogramowanie do skanowania i usuwania ransomware zmieniające rozszerzenie pliku .zepto
Polecane sposoby są bardzo dobre, szczególnie polecamy 3 rozwiązanie. Wymaga zapewnienia odpowiedniej przestrzeni dyskowej, jednak w momencie ataku może okazać się zbawienne.
Jeśli masz problemy z ZEPTO lub boisz się ataku zajrzyj na naszego bloga lub skontaktuj się z nami – pomagamy przy usuwaniu skutków ZEPTO: http://www.itmore.pl/blog/zepto-nowe-zagrozenie-w-sieci
mam pytanie mozna bylo usunac zeto i odzyskac pliki zdjeciowe????