Eliminazione di Zepto ransomware e ripristino dei file criptati .zepto

stf-zepto-ransomware-richiesta-di-riscatto

Il ransomware chiamato Zepto, a causa dell’estensione che aggiunge ai file criptati, è osservato dai ricercatori da poco. Probabilmente collegato con il ransomware Locky, Zepto utilizza lo stesso messaggio di riscatto. Un altro cripto-virus così, che può essere diffuso dalla stessa campagna dannosa è Bart Ransomware. Per sapere come eliminare Zepto ransomware e capire come provare a ripristinare i vostri dati, dovete leggere l’articolo fino alla fine.

Informazione riassunta sulla minaccia

Nome Zepto
Tipo Ransomware
Breve descrizione Il ransomware utilizza cifrario AES a 128-bit per criptare file con algoritmo asimmetrico, per avere una chiave di decifrazione diversa da quella della cifratura.
Sintomi Il ransomware chiude tutti i vostri file aggiungendo ad essi l’estensione .zepto e inserisce un messaggio di riscatto nel vostro computer. Nel messaggio è indicato che dovete pagare l’equivalente di 300 $ in Bitcoins per decriptarli.
Modi di trasmissione Messaggi spam, file allegati all’email, siti sospetti
Strumento per la scoperta Controllate se il vostro sistema è stato contagiato da Zepto

Scarica

Strumento per la rimozione di software malevolo
(malware)

Esperienze degli utenti Partecipate al nostro forum per commentare Zepto Ransomware

Video guida per l’eliminazione del virus Zepto

Ransomware Zepto – Come mi sono infettato?

Il ransomware Zepto si diffonde con una campagna di email spam, simile a quella di Locky ransomware ed uguale a quella di Bart ransomware. Quando viene aperta, la email contiene un file, che in pratica è un file JavaScript con un codice malevolo al suo interno. Tutto il processo di cifratura è nascosto, in modo che un dato utente nota solo gli effetti conseguenti alla cifratura.

Ransomware Zepto – analisi aggiuntiva

Zepto è il nome di un ransomware, che sembra la nuova variante di Locky ransomware. Il ransomware Zepto è chiamato così per l’estensione, che mette ai file cifrati.
Il ransomware probabilmente fa un salvataggio nel registro di sistema per un caricamento automatico durante l’avvio di Windows:

→HKCU\Software\Microsoft\Windows\CurrentVersion\Run [exe name]

Subito dopo che i vostri file sono stati cifrati, il ransomware Zepto crea due file, che contengono le istruzioni per il pagamento. I file sono:

  • HELP_instructions.html
  • HELP_instructions.bmp

Potete vedere la foto del messaggio per il riscatto:

stf-zepto-ransomware-richiesta-di-riscatto

Il messaggio per il riscatto dichiara questo:

!!! INFORMAZIONE IMPORTANTE !!!
Tutti i vostri file sono criptati con il cifrario RSA-2048 e AES-128.
Più informazioni su RSA e AES possono essere trovate qui:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
La decriptazione dei file è possibile solo con la chiave privata e il programma per decriptare, che sono sul nostro server segreto.
Per ricevere la vostra chiave privata seguite uno dei collegamenti:
1. http://mphtadhci5mrdlju.tor2web(.)org/D7F6EEB0D8FC508E
2. http://mphtadhci5mrdlju.onion(.)to/D7F6EEB0D8FC508E
Se questi indirizzi non sono disponibili, seguite i passi sintetizzati:
1. Scaricate e installate Tor Browser: https://www.torproject.org/download/download-easy(.)html
2. Dopo un’installazione riuscita, avviate il browser e aspettate l’inizializzazione.
3. Inserite nella barra degli indirizzi: mphtadhci5mrdlju(.)onion/D7F6EEB0D8FC508E
4. Seguite le istruzioni del sito.
!!! Il vostro numero di identificazione personale: D7F6EEB0D8FC508E !!!

La somma, chiesta come riscatto è 0.5 Bitcoins, che è poco più di 315 dollari degli USA. Il messaggio indica due indirizzi web che utilizzano il proxy Tor, nei quali se semplicemente copiate il link potrete vedere il loro contenuto. All’interno ci sono le istruzioni per pagare, similmente a quelle dei virus ransomware Locky e Bart. Non pagate il riscatto perché questo aiuterà solo i criminali. Non c’è garanzia che dopo il pagamento riceverete i vostri file indietro. Il ransomware non usa minacce, ma semplicemente mostra i link per i siti internet per pagare.

Il ransomware Zepto utilizza codice a 128 a bit con un algoritmo AES a 2048 bit per la cifratura dei file. La chiave è asimmetrica, il che significa che è diversa da quella per la cifratura e viene mandata ai creatori del ransomware. Zepto somiglia molto al ransomware Bart ed è comparso quasi nello stesso tempo. Se la nuova variante di Locky si vende sul mercato nero, le estensioni che cripta il ransomware potrebbero essere uguali come nella variante Bart:

stf-zepto-ransomware-zepto-crypted-file

→.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip,
.djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myf, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip

Quando tutta la procedura della cifratura è finita, vedrete, che tutti i file sul vostro computer sono rinominati con simboli e hanno nuove estensioni – .zepto. I simboli adottano segni esadecimali del numero identificativo ransomware della vittima, in ordine preciso. Il ransomware Locky aveva un simile modello di rinominazione quando è uscito.

Il ransomware Zepto probabilmente cancellerà le Shadow Volume Copies che sono nel sistema operativo di Windows. Continuate a leggere l’articolo per sapere come potreste reimpostare i dati nel modo nel quale erano prima della cifratura.

Eliminare il ransomware Zepto e ripristinare i file .zepto bloccati

Se il vostro computer è infettato dal ransomware Zepto, dovete avere un po’ di esperienza con il lavoro di eliminazione di software malevolo. Dovete rimuovere il ransomware tanto veloce, quanto eventualmente potete perché può cifrare più dati e diffondersi più profondamente nella rete esistente. L’azione consigliata per voi è rimuovere totalmente il ransomware, seguendo passo per passo le istruzioni, riportate in basso.

Cancellazione manuale di Zepto dal vostro computer

Importante! Notifica significante per la minaccia Cerber: L’eliminazione manuale di Cerber richiede un intervento nei file di sistema e nei registri. Quindi, può causare danni al vostro PC. Anche se le vostre capacità informatiche non sono a un livello professionale, non vi preoccupate. Potete eseguire da soli l’eliminazione in 5 minuti, con l’aiuto di uno strumento per la rimozione di software malevolo

1. Avviare il vostro computer in Safe Mode (regime sicuro), al fine di isolare ed eliminare gli oggetti e i file, associati a Zepto files and objects

Eliminazione automatica di Zepto tramite il download di un programma moderno per l’eliminazione di software malevolo

1. Eliminazione di Zepto con SpyHunter Anti-Malware Tool
2. Recuperate i file crittografati da Zepto
Per scelta: Uso di strumenti software Anti - Malware alternativi

Berta Bilbao

Berta is the Editor-in-Chief of SensorsTechForum. She is a dedicated malware researcher, dreaming for a more secure cyber space.

More Posts - Website

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.