Table des matières
Les cyberescrocs responsables de la distribution Locky, l’un des logiciels de rançon fléaux dominant de l’année en cours, semblent avoir commencé une nouvelle campagne avec quelques différences tangibles apportés à leur tactique d’extorsion. Le nouveau successeur baptisé Bart ransomware est en service, fonctionnant en même temps avec la nouvelle itération de Locky appropriée. Bart ajoute des fichiers précieux de ses victimes pour les archives ZIP qui ne peuvent pas être ouverts, sauf si l’utilisateur a le bon mot de passe pour déverrouiller l’archive. L’édition remaniée du cheval de Troie notoire, à son tour, est annexant l’extension .zepto aux objets brouillés.
Cette réincarnation de Locky souille les ordinateurs Windows par le spam du porte un chargeur contagieux, qui est en fait une entité JavaScript obscurcie. De toute évidence, ses auteurs se sont tournés vers un botnet différent après que leur campagne précédente avait baisser il y a quelques mois. Le flux de travail de compromis est tout à fait semblable à ce qu’il ressemblait avant : un utilisateur non averti reçoit un email accrocheur qui l’encourage à ouvrir la pièce jointe nuisible. L’exécution du logiciel de rançon est assez furtif pour la victime de ne pas remarquer la suite.
Le programme incriminé regarde silencieusement les fichiers personnels sur les disques locaux de la machine, les amovibles et les chemins de réseau mappés. Une fois que la liste est prête, le cheval de Troie exploite le chiffre AES-128 pour crypter tous les fichiers, puis applique le cryptosystème RSA-2048 asymétrique pour coder la clé secrète de déchiffrement.
Après avoir effectué les manipulations de chiffrement de données complexes, la maladie rend indiscernable les noms de fichiers et concentre l’extension .zepto à chacun. Par conséquence, une donnée aléatoire obtient un nom semblable à D7F6EEBA-D9FC508E-0B2C-82EED365C05D.zepto. Il modifie également l’image de bureau de Windows pour _HELP_instructions.bmp et crée un nouveau fichier nommé _HELP_instructions.html l’intérieur de chaque dossier crypté ainsi que sur le bureau approprié. Ce sont des instructions de rançon qui contiennent un ID d’identification personnel de la victime, plusieurs liens Tor pour recevoir la clé privée, et le message d’avertissement suivant: « Tous vos fichiers sont cryptés avec les chiffres RSA-2048 et AES-128 ». Les auteurs poursuivent en disant « Le déchiffrement de vos fichiers est seulement possible avec la clé privée et le programme, qui est sur notre serveur de secret décrypter ».
Lorsque la victime suit l’une des passerelles Tor énumérés dans le document _HELP_instructions.html (.bmp), ils finissent sur le « Locky Decryptor Page ». La page est conçue spécialement pour la présentation des paiements à une adresse Bitcoin unique et télécharger le décrypteur. La rançon que la demande des acteurs de la menace pour la récupération équivaut à 0,5 Bitcoins, soit environ 300 USD. Si un grand réseau d’entreprise est victime de cette ransomware, le rachat sera très probablement présupposer un paiement plus important.
Le retour du logiciel de rançon Locky est certainement une mauvaises nouvelles pour l’industrie de la sécurité et les utilisateurs finaux dans le monde entier. Le gang derrière s’est avéré être assez ambitieux pour essayer de changer le statu quo sur la scène de l’extorsion, de sorte que la surface d’attaque sera probablement énorme. Considérant qu’il n’y a pas de solution viable qui pourrait restaurer les données verrouillées à ce stade, certaines techniques de récupération peuvent être de l’aide.
Suppresseur automatique du virus des fichiers de Zepto
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers Zepto
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restaurer les fichiers cryptés par le logiciel de rançon des fichiers .zepto
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier Zepto crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez que le virus .zepto a été complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.