Zepto ransomware - ¿Como eliminarlo?

 

El ransomware Zepto es una nueva versión del ransomware Locky lanzado el 27 de Junio de 2016. Cómo su predecesor, usa un algoritmo de encriptación asimétrico (RSA-2048 y AES-128). Pero hay algunas peculiaridades con esta nueva variante.

Acerca del Ransomware Zepto

El ransomware Zepto está desarrollado en JS (Javascript). Desde que se introduce en su sistema, Windows ejecuta un módulo wsscript.exe y ejecute el script. No se llevarán a cabo verificaciones ni escaneados de seguridad. El ejecutable .js conecta el servidor C&C (Comando&Control) para descargar el pago del ransomware. Y, desde que se descarga, el vídeos codificador escanea el sistema informático y bloquea los datos. Se centra en archivos con las siguientes extensiones:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

El cryptomalware Zepto renombra los archivos encriptados con un nombre de archivos enorme. Un ejemplo de un nombre de un archivo encriptado – 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto. La ID de la víctima serán los primeros 16 caracteres del nombre del archivos que serían 024BCD3341D1ACD3. Este virus encriptador también cambia el tipo de archivos, que se convierten en archivos ZEPTO. Cómo dato interesante, este codificador sobrescribe los archivo y elimina las versiones originales. El archivo _HELP_instructions.bmp, contiene la nota de rescate y reemplaza su fondo de escritorio. Los archivos _HELP_instructions.html se dejarán en cada carpeta de un archivo encriptado y en el escritorio de la víctima. La nota dice lo siguiente:

¡¡¡ INFORMACIÓN IMPORTANTE !!!

Todos sus archivos se han encriptado con un cifrado RSA-2048 y AES-128.

Se puede encontrar más información sobre el RSA y AES aquí:

[enlaces a wikipedia]

Desencriptar sus archivos sólo es posible con la clave privada y el programa desencriptador, que está en nuestro servidor secreto.

Para recibir su clave privada siga uno de los enlaces

[Enlaces de Webs Tor]

Si ninguna de dichas direcciones está disponible, siga los siguientes pasos:

[se proporcionan instrucciones sobre cómo descargar e instalar el Navegador Tor]

¡¡¡ ID de identificación personal: A2E4B02F73265D55 !!!

Aunque no se diga en la nota, el tamaño del rescate es el mismo que el del Ransomware Locky – 0.5 BTC (Bitcoins) una cantidad de 319.86 USD en este momento. No es una gran cantidad de dinero, pero sería una pena perderla.

¿Cómo se Distribuye el Ransomware Zepto?

El virus Zepto es un virus troyano. Se distribuye a través de archivos .js infectados, que parecen archivos .doc o .pdf y se añaden a e-mails y envían a las víctimas. Estos e-mails caen en las carpetas de spam de las cuentas de e-mail de los usuarios elegidos. Se disfrazan como documentos importantes emitidos por empresas legítimas. Podrían ser de PayPal, FedEx, sus instituciones locales como, Aduanas, etc. Desde que el adjunto se abre, se liberan todos los males.

¿Cómo Desencriptar Archivos Encriptados por el Ransomware Zepto?

El virus ransomware Zepto, es como el ransomware Locky, todavía no se puede desencriptar. Lo más probable, si se desarrolla el desencriptador para Locky, es que también sea apropiado para Zepto. Pero, por ahora, la única solución para recuperar sus datos es aplicar herramientas de recuperación de datos como software de Kaspersky Lab, R-Studio, PhotoRec, etc. Parece que este encriptador, al igual que Locky, elimina las Shadow Volume Copies. Así que el Servicio de Shadow Volume, incluso aunque se utilice, no servirá de nada. Por cierto, si ha guardado copias de sus archivos en algún dispositivo de almacenamiento externo o servicio, está salvado. Si no, la única solución sigue siendo la recuperación de datos con herramientas profesionales. Sería recomendable usar un disco duro o, por ejemplo, Servicio en la Nube en el futuro. La recuperación de datos no es la única cosa que debe realizar. Incluso más importante, debe eliminar el ransomware. Emplee Reimage, SpyHunter o Hitman herramientas de eliminación automática de malware. Escanearan su sistema informático para que no quede ningún virus ni sus restos. Las instrucciones sobre cómo eliminar el virus Zepto de manera manual se proporcionan a continuación.

Restaurar Ransomware

¿Cómo eliminar {nombre_del_parásito} usando Restauración del Sistema?

1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando

Para Windows 7/ Vista/ XP

l Inicio → Apagar → Reiniciar → OK.

l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.

l Elegir Modo Seguro con Solicitud de Comando.

Para Windows 8 / 10

l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.

l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.

l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.

2. Restaurar archivos y configuraciones del Sistema.

l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.

l Luego introduzca rstrui.exe y presione Intro otra vez.

l Haga clic en “Siguiente” en la ventana que apareció.

l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el {nombre_del_parásito} en su sistema y luego haga clic en “Siguiente”.

l Para iniciar la restauración del Sistema haga clic en “Sí”.

3. Complete la eliminación del {nombre_del_parásito}

Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Reimage, Spyhunter y elimine todos los archivos maliciosos relacionados con {nombre_del_parásito}.

4. Restaure los archivos afectados por {nombre_del_parásito} usando Shadow Volume Copies

Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente {nombre_del_parásito} intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.

Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.

a) Versiones Anteriores nativas de Windows

Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.

b) Shadow Explorer

Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.

Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.

 

Herramientas de extracción Zepto ransomware automática

 

Otras herramientas

 
  0   2
    Spyhunter
  4   0
    Malwarebytes Anti-Malware
 
  Descargar Reimage para Zepto ransomware detecciónNota: Ensayo Reimage proporciona la detección de parásitos como Zepto ransomware y ayuda a su eliminación de forma gratuita. Puede eliminar los archivos detectados, procesos y entradas del registro usted mismo o comprar una versión completa.
  We might be affiliated with some of these programs. Full information is available in disclosure             
     

4 pensamientos en “Zepto ransomware

  1. Edward
     

    increíble los secuestros en todas sus modalidades.
    este tema esta interesante

     
  2. Leon Castro
     

    lo estoy probando?
    Alguno hizo la prueba?

     
  3. Mathias Burgio
     

    hola, me interesa el virus para analizarlo con fines para prevenirlo, alguien cuenta con el mail desde el cual le llego? si me lo pueden reenviar estaria mas que agradecido. Obviamente aclarando que es el virus, no me quiero comer el mal rato. Mi mail: mathias.b@live.com.ar

     
  4. ricardo
     

    alguien a podido desencriptar el zepto? todavía lo tengo si alguien me puede ayudar gracias mi correo es ricardo@opcionuno.com

     

Deja un comentario