Virus encriptador Zepto

Conocido también como: Zepto (virus)
Propagación: Baja
Nivel de peligrosidad: Media

Instrucciones para eliminar el virus criptográfico Zepto

¿Qué es Zepto?

Zepto es un virus de la categoría secuestrador de equipos casi idéntico a Locky. Los ciberdelincuentes propagan este software malicioso a través de archivos Zip y .docm (MS Word) que vienen adjuntos a correos basura. El archivo Zip contiene un archivo Javascript (que parece un documento de texto) que, cuando se ejecuta, descarga el software publicitario como archivo ejecutable de Windows (.exe) y lo ejecuta. Ahora bien, .docm quiere decir "documento con macros". No obstante, solo se ejecuta si la víctima habilita las macros en MS Word, que vienen inhabilitadas por defecto. La macro actúa de la misma forma: descarga un ejecutable malicioso y lo ejecuta. Tras introducirse en el sistema, Zepto cifrará varios tipos de archivos mediante la criptografía asimétrica.

Todos los archivos encriptados serán renombrados usando el siguiente formato: "[número_hexadecimal_ de_8_dígitos]-[número_hexadecimal_ de_4_dígitos]-[número_hexadecimal_ de_4_dígitos]-[número_hexadecimal_ de_4_dígitos]-[número_hexadecimal_ de_12_dígitos].zepto". Por ejemplo, "ejemplo.jpg" pasaría a llamarse aprox. así: "FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto". Tras completar el cifrado, Zepto generará un archivo BMP ("_HELP_Instructions.bmp", que se establece como fondo de escritorio del equipo afectado) y un archivo HMTL ("_HELP_instructions.html", ubicado en el escritorio de la víctima). Ambos archivos contienen el mismo mensaje que informa al usuario sobre la encriptación. Como se ha indicado anteriormente, Zepto usa un algoritmo de cifrado asimétrico, por lo que se generan claves públicas (encriptación) y privadas (desencriptación) durante el proceso de cifrado. La clave privada se almacena en los servidores remotos bajo el control de los ciberdelincuentes. Como es imposible desencriptar los archivos sin esa clave, los ciberdelincuentes intentan vender a las víctimas una herramienta de desencriptación con una clave privada integrada. La cuantía del rescate es de 0,5 Bitcoins (actualmente, 1 BTC cuesta ~$653,96). Las instrucciones de pago se facilitan en la dirección URL proporcionada dentro de la red Tor. Sepa que esta dirección web apunta a un sitio que es idéntico a la web de Locky. Los resultados de investigaciones muestran que una gran parte de los ciberdelincuentes ignoran a sus víctimas a pesar del pago. Hay una alta probabilidad de que el pago no dé los frutos esperados. Por todo ello, le recomendamos que haga caso omiso a las peticiones de pago y no contacte con esas personas. Por desgracia, no existen herramientas actualmente que sean capaces de desencriptar los archivos afectados por el ransomware Zepto. Por tanto, la única solución es restaurar los sistemas y archivos a partir de una copia de seguridad.

Captura de pantalla del mensaje que insta a los usuarios a contactar con los desarrolladores de Zepto para desencriptar los archivos afectados:

instrucciones desencriptación Zepto

Locky no es el único software malicioso que comparte similitudes con Zepto. Hay cientos de virus de la categoría ransomware que también actúan de forma muy similar. Algunos ejemplos son CryptoWall, Cerber, Unlock92 y CTB-Locker. Hay solo una diferencia principal entre estos virus: la cuantía del rescate. Prácticamente todos los virus secuestradores de equipos se distribuyen a través de redes P2P como Torrent, adjuntos maliciosos en correos electrónicos (p. ej. falsas ofertas de empleo), herramientas falsas para actualizar software y troyanos. Por este motivo, la clave para mantener la seguridad en el equipo es la precaución. Utilice siempre un software antivirus legítimo y mantenga actualizadas todas las aplicaciones instaladas. Asimismo, nunca abra ningún adjunto enviado en direcciones de email sospechosas y asegúrese siempre de descargar los archivos deseados desde fuentes de confianza (p. ej. sitio web de descarga oficial). Los virus de la categoría ransomware nos recuerdan lo importante que es realizar habitualmente copias de seguridad de los datos almacenados.

Captura de pantalla del archivo HTML Zepto:

archivo html del virus encriptador Zepto

Captura de pantalla del archivo BMP de Zepto:

archivo BMP del virus encriptador Zepto

Cómo se pide la recompensa:

*+_+~~-+~=~*$$-

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://25z5g623wpqpdwis.tor2web.org
2. http://25z5g623wpqpdwis.onion.to

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 25z5g623wpqpdwis.onion/
4. Follow the instructions on the site.

!!! Your personal identification ID: - !!!

+$.+~-=*-.*.~.
=|++~--~=$_-|_
=$..

Captura de pantalla del sitio web de Zepto (Locky) en Tor:

Sitio web del virus encriptador Zepto (idéntico al de Locky)

Samples of spam email messages spreading Zepto ransomware:

Email que distribuye Zepto (ejemplo 1) Email que distribuye Zepto (ejemplo 2)

Eliminar el bloqueador de sistemas Zepto:

Eliminar automáticamente de forma instantánea Zepto (virus): Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Zepto (virus). La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Zepto. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Zepto se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

run system restore

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Zepto.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Zepto eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Zepto, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Zepto.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

hitmanproalert ransomware prevention application

 

Malwarebytes Anti-Ransomware finaliza la infección criptográfica e impide que vuelva a ejecutarse:

Otras herramientas conocidas para eliminar el virus Zepto:

Fuente: https://www.pcrisk.com/removal-guides/10283-zepto-ransomware