Zepto ransomware - Hoe te verwijderen

De Zepto ransomware is een nieuwe versie van de Locky ransomware die uitgebracht werd op 27 juni 2016. Net zoals zin voorganger, gebruikt het een asymmetrisch (RSA-2048 en AES-128) codering algoritme. Maar deze nieuwe variant heeft wat specifieke eigenschappen.

Over de Zepto Ransomware

De Zepto ransomware werd in JS (Javascript) geschreven. Van zodra het op je systeem zit, draait Windows de wsscript.exe module en voert het script uit. Er worden geen verificaties of beveiliging scans uitgevoerd. Het .js uitvoeringsbestand verbind met de C&C (Command&Control) server om de ransomware te downloaden. En van zodra het gedownload is, scant het codering virus je computer en vergrendeld het de data. Het richt zich op bestanden met de volgende extensies:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

De Zepto cryptomalware geeft de gecodeerde bestanden een enorme bestandsnaam. Een voorbeeld hiervan is – 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto. De ID van het slachtoffer vormen de eerste 16 karakters van de bestandsnaam, dit is 024BCD3341D1ACD3. Het codering virus verandert ook het type van het bestand, het wordt een ZEPTO Bestanden. Een interessante opmerking is dat deze codeerder bestanden overschrijft en het origineel verwijdert. Het _HELP_instructions.bmp bestand, dat de losgeldbrief bevat, vervangt je bureaublad achtergrond. _HELP_instructions.html bestanden worden in elke map met gecodeerde bestanden geplaatst en op je bureaublad. Het bericht wiet er als volgt uit:

!!! BELANGRIJKE INFORMATIE !!!

Al je bestanden werden gecodeerd met RSA-2048 en AES-128 codes.

Meer informatie over RSA en AES vind je hier:

[links naar wikipedia]

Het decoderen van je bestanden is enkel mogelijk via de private sleutel en decoderingsprogramma, wat bewaard wordt op onze geheime server.

Volg één van de volgende links om je private sleutel te ontvangen

[Tor Web links]

Als al deze adressen onbeschikbaar zijn, volg dan deze stappen:

[instructies over hoe TOR te downloaden en installeren worden weergegeven]

!!! Je persoonlijke identificatie ID: A2E4B02F73265D55 !!!

Wat echter niet vermeld wordt in het bericht is dat het bedrag van het losgeld net hetzelfde is als van de Locky ransomware – 0.5 BTC (Bitcoins) wat momenteel 319.86 USD is. Dat is niet zo veel geld, maar toch zou jammer zijn om het te verliezen.

Hoe wordt de Zepto Ransomware Verdeeld?

Het Zepto virus is een Trojaan. Het wordt verspreid via geïnfecteerde .js bestanden, die eruitzien als .doc of .pdf bestanden, en toegevoegd worden aan mails die aan het slachtoffer gezonden. Deze mails komen terecht in je spam map. Ze zijn vermomd als belangrijke documenten uitgegeven door legitieme bedrijven. Dit kunnen PayPal, FedEx, of lokale instellingen zoals de douane enz. zijn. Van zodra de bijlage geopend wordt, is het kwaad geschied.

Hoe bestanden decoderen die gecodeerd werden door de Zepto Ransomware?

Het Zepto ransomware virus kan, net zoals de Locky ransomware, nog steeds niet worden gedecodeerd. Hoogst waarschijnlijk zal, als er een decoder ontwikkeld wordt voor Locky deze ook gebruikt kunnen worden voor Zepto. Voor nu is echter de enige mogelijkheid om je bestanden te herstellen, het gebruik van recovery tools zoals software by Kaspersky Lab, R-Studio, PhotoRec, etc. Het lijkt erop dat deze codeerder, net zoals Locky, Schaduw Volume Kopieën verwijdert. Dus zelfs indien je Shadow Volume Service gebruikt zal dit nutteloos. Trouwens als je kopieën van je bestanden op externe opslag media bewaard hebt ben je ook gered. Als dit niet zo is blijft de enige oplossing het herstellen van je data met professionele tools. Het zou verstandig zijn moest je in de toekomst een harde schijf of bijvoorbeeld, Cloud gebruiken. Het herstellen van je bestanden is niet het enige wat je moet doen. Belangrijker is dat je de ransomware verwijdert. Gebruik de Spyhunter of Hitman automatische malware verwijdering tools. Deze zullen je computer scannen zodat er geen virussen of restanten overblijven. Hieronder worden ook manuele instructies gegeven voor het verwijderen van het Zepto virus.

Hoe Zepto ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt

voor Windows 7 / Vista/ XP

• Start → Afsluiten → Herstarten → OK.
• Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
• Kies Veilige Modus met Opdracht Prompt.

voor Windows 8 / 10

• Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten.
• Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
• Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.

Systeembestanden en instellingen herstellen.

• Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
• Geef dan rstrui.exe in en druk opnieuw op Enter.
• Klik op “Volgende” in het venster dat verscheen.
• Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Zepto virus je systeem geïnfiltreerd heeft en klik dan op “Volgende”.
• Om het Systeemherstel te starten klik je op “Ja”.

2. Complete verwijdering van Zepto ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals  Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Zepto virus.

3. Herstel door Zepto ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Zepto virus om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.