Zepto ransomware
Jest jednym z wczesnych wariantów oprogramowania Locky, które odnosi znaczne sukcesy. Tego typu oprogramowanie jest rozpowszechniane z formie JavaScriptu, czy też pliku w formacie Word, który w dość łatwy sposób możne przeniknąć do wielu niezabezpieczonych komputerów. Wirus możne szyfrować pliki poprzez szyfrowanie RSA-2048 oraz AES-128, dodatkowo możne pozostawić w systemie notke o nazwie _HELP_instructions.html, która będzie zawierać instrukcje mówiące o dostępie do personalnych plikow ktore mają możliwość odszyfrowania ich dzięki skorzystaniu z możliwości płatnego oprogramowania Locky Decrypter – narzędzia do deszyfrowania plików.
Zepto jest wirusem typu ransomware niemal identycznym z Locky. Cyberprzestępcy dystrybuują malware za pomocą złośliwych plików archiwów ZIP i .docm (MS Word), które są dołączone do wiadomości e-mail ze spamem. Archiwum ZIP zawiera plik JavaScript (który wygląda jak dokument tekstowy), który po uruchomieniu pobiera wykonywalny plik (.exe) i uruchamia go. Teraz .docm oznacza "dokument z makrami". Jednak działa tylko wtedy, gdy ofiara umożliwia makra w MS Word, które są domyślnie wyłączone. Makro następnie robi to samo - pobiera szkodliwy plik wykonywalny i uruchamia go. Po infiltracji systemu, Zepto szyfruje różne typy plików za pomocą szyfrowania asymetrycznego.
Nazwy wszystkich zaszyfrowanych plików są zmieniane przy użyciu następującego formatu:"[8_digit_hexadecimal_number]-[4_digit_hexadecimal_number]-[4_digit_hexadecimal_number]-[4_digit_hexadecimal_number]-[12_digit_hexadecimal_number].zepto". Przykładowo, "sample.jpg" może zostać zmieniony na coś w stylu "FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto". Po udanym szyfrowaniu Zepto generuje plik BMP ("_HELP_Instructions.bmp"), który jest również ustawiany jako tapeta pulpitu ofiary oraz plik HTML m"_HELP_instructions.html") umieszczony na pulpicie ofiary. Oba pliki zawierają ten sam komunikat informujący użytkowników o szyfrowaniu. Jak już wspomniano, Zepto używa algorytmu szyfrowania asymetrycznego, dlatego podczas szyfrowania generowany jest klucz publiczny (szyfrowania) i prywatny (deszyfrowania). Klucze te są generowane w trakcie procesu szyfrowania. Klucz prywatny jest przechowywany na zdalnych serwerach kontrolowanych przez cyberprzestępców. Ponieważ deszyfrowanie bez tego klucza jest niemożliwe, cyberprzestępcy próbują sprzedać ofiarom narzędzie deszyfrowania z wbudowanym kluczem prywatnym. Oczekują oni zapłaty w Bitcoinach. Instrukcje płatnicze są podane w danym adresie URL w sieci Tor. Zauważ, że adres URL prowadzi do strony, która jest całkowicie identyczna ze stroną Locky. Wyniki badań pokazują, że duża część cyberprzestępców ignoruje ofiary pomimo dokonania płatności. Jest duże prawdopodobieństwo, że zapłacenie nie przyniesie żadnego pozytywnego wyniku. Dlatego radzimy, aby ignorować wszystkie zachęty do zapłaty i/lub skontaktowania się z tymi osobami.
