Zepto ransomware - Hvordan fjernes det?

Zepto ransomware er en ny version af Locky ransomware, og blev udgivet den 27. juni 2016. Ligesom sin forgænger benytter det asymmetrisk (RSA-2048 og AES-128) krypteringsalgoritme. Men der er nogle særlige forhold ved denne nye variant.

Om Zepto Ransomware

Zepto ransomware er skrevet i JS (JavaScript). Lige så snart det trænger ind i dit computersystem, kører Windows wsscript.exe modulet og udfører scriptet. Der bliver hverken udført nogle kodeverifikationer eller sikkerhedsscanninger. Den .js eksekverbare opretter forbindelse til C&C (Command&Control) serveren for at downloade ransomwareprogrammets nyttelast. Og når det først er downloadet, vil den indkodende virus scanne computersystemet og låse data. Den sigter efter filer med følgende udvidelser:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

Zepto cryptomalware omdøber de krypterede filer med et enormt stort filnavn. Et eksempel på et filnavn på en krypteret fil kan være 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto. Ofrets ID er de første 16 tegn i filnavnet, som i dette tilfælde er 024BCD3341D1ACD3. Denne krypteringsvirus ændrer også typen af filerne, som derefter bliver til ZEPTO Filer. Det er interessant at bemærke, at denne såkaldte encoder overskriver filer og sletter de originale versioner._HELP_instructions.bmp filen, som indeholder meddelelsen om løsesummen, udskifter skrivebordets baggrund. _HELP_instructions.html filer bliver kastet ind i alle mapper med de krypterede filer samt vist på ofrets skrivebord. I meddelelsen står der:

!!! VIGTIG INFORMATION !!!

Alle dine filer er blevet krypteret med RSA-2048 og AES-128 cifre.

Yderligere information om RSA og AES kan findes her:

[links til Wikipedia]

Dekryptering af dine filer er kun mulig med den private nøgle og dekrypteringsprogram, som findes i vores hemmelige server.

Hvis du gerne vil modtage din private nøgle, følg et af linkene

[Tor Web links angivet]

Hvis alle adresserne ikke er tilgængelige, kan du følge disse punkter:

[Instruktioner om download og installation af Tor Browseren er angivet]

!!! DIT PERSONLIGE IDENTIFIKATION ID: A2E4B02F73265D55 !!!

Selvom det ikke fremgår af meddelelsen, er størrelsen på løsesummen den samme som ved Locky ransomware – 0.5 BTC (Bitcoins), hvilket p.t beløber sig til 319,86 dollars. Ikke en formue, men det ville alligevel være ærgerligt at miste dem.

Hvordan distribueres Zepto ransomware?

Zepto virus er en trojansk virus. Den spredes via inficerede .js filer, som ligner .doc eller .pdf filer, og som tilføjes e-mails og sendt til ofrene. Disse e-mails falder ind i spam-mappen i brugernes e-mailkonto. De er forklædt som vigtige dokumenter udstedt af lovlige virksomheder. Det kunne f. eksempel være PayPal, FedEx, dine lokale myndigheder, såsom Told og Skat osv. Når vedhæftningen først er åbnet, slipper alt det væmmelige ud.

Hvordan dekrypterer man filer, der er krypteret af Zepto ransomware?

Zepto ransomware virus er, ligesom Locky ransomware, ikke mulig at dekryptere. Hvis der bliver udviklet et dekrypteringsprogram til Locky, kan det højst sandsynligt også bruges til Zepto. Men i øjeblikket er den eneste løsning at anvende gendannelseprogrammer, såsom software fra Kaspersky Lab, R-Studio, PhotoRec osv., hvis du gerne vil have dine data tilbage. Det lader til, at dette krypteringsprogram, på samme måde som Locky, sletter Shadow Volume kopierne. Så selvom du har anvendt Shadow Volume tjenesten, vil den ikke være til nogen nytte. Men hvis du har gemt kopier af dine filer i en ekstern enhed eller tjeneste, så er du reddet. Hvis ikke, er den eneste løsning at anvende et professionelt værktøj for at få data tilbage. Det er en god ide, hvis du fremover gør brug af en harddisk eller f. eks Cloud Service. Filgendannelse er ikke det eneste, du skal gøre. Endnu vigtigere er det, at du fjerner ransomwareprogrammet. Anvend Reimage, Spyhunter eller Hitman, som er automatiske værktøjer til fjernelse af malware. De vil scanne computersystemet, så der hverken er virus eller rester af den tilbage. En manuel fjernelsesvejledning til Zepto virus er angivet nedenfor.

1. Hvordan fjernes Zepto ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Zepto virus trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af Zepto ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Zepto virus.

3. Gendan filer, der er påvirket af Zepto ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Zepto virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.