Rançongiciel Zepto

Aussi connu comme: Zepto virus
Distribution: Bas
Niveau de dommage: Médium

Instructions de suppression du rançongiciel Zepto

Qu'est-ce que Zepto?

Zepto est un virus de type rançongiciel presque identique à Locky. Les cybers criminels propagent ce logiciel malveillant en utilisant des archives Zip malicieuses et des fichiers doc.com (MS Word) joint aux pourriels. Les archives Zip contiennent un fichier JavaScript (qui ressemble à un document texte) qui, une fois exécuté, télécharge le rançongiciel comme un fichier exécutable de Windows (.exe) et l’exécute. .docm signifie ‘’document avec macros’’. Cependant, il s’exécute seulement di la victime active les macros dans Microsoft Word, qui sont désactivées par défaut. La macro fera ensuite la même chose – télécharger un fichier exécutable malicieux, et l’exécuter. Après avoir infiltré le système, Zepto chiffrera divers types de fichiers utilisant une cryptographie asymétrique.

Tous les fichiers chiffrés seront renommés en utilisant le format suivant "[8_digit_hexadecimal_number]-[4_digit_hexadecimal_number]-[4_digit_hexadecimal_number]-[4_digit_hexadecimal_number]-[12_digit_hexadecimal_number].zepto". Par exemple, "sample.jpg" pourrait être renommé quelque chose comme"FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto". Après le chiffrage, Zepto génèrera un fichier BMP ("_HELP_Instructions.bmp", qui est aussi placé sur le fond d’écran du bureau de la victime). Les deux fichiers contiennent exactement le même message informant les utilisateurs du chiffrage. Comme nous l’avons déjà mentionné, Zepto utilisant un algorithme de chiffrage asymétrique, ainsi une clef publique (chiffrage) et une clef privée (déchiffrage) sont générées durant le processus de chiffrage. La clef privée est stockée sur des serveurs à distance contrôlés par des cybers criminels. Don, parce que le déchiffrage sans cette clef est impossible, les cybers criminels tentent de vendre aux victimes un outil de déchiffrage comportant une clef privée. La taille de la rançon est de .5 Bitcoin (actuellement 1 BTC coûte ~$653.96). Les instructions de paiement sont fournies dans l’adresse URL du réseau Tor. Noter que l’adresse URL mène à un site qui est complètement identique à Locky. Les résultats de recherche montrent qu’une grande partie des cybers criminels ignorent les victimes, malgré qu’elles aient fait le paiement. Il y a de fortes chances que payer ne donnent pas de résultats positifs. Donc, nous vous recommandons fortement d’ignorer tous les encouragements vous demandant de payer et/ou contacter ces personnes. Malheureusement, il n’y a actuellement aucun outil capable de déchiffrer les fichiers compromis par le rançongiciel Zepto. Donc, la seule solution est de restaurer le système/les fichiers à partir d’une sauvegarde.

Capture d’écran d’un message encouragent les utilisateurs à contacter les développeurs du rançongiciel Zepto pour déchiffrer leurs données compromises :

Instructions de déchiffrage de Zepto

Locky n'est pas le seul logiciel malveillant qui partage des similarités avec Zepto. Il y a des centaines de virus de types rançongiciels qui se comportent de façon très similaire. Les exemples incluent CryptoWall, Cerber, Unlock92, et CTB-Locker. Il y a une seule différence majeure entre ces virus : la taille de la rançon. La vaste majorité des rançongiciels sont distribués en utilisant les réseaux pair-à-pair (P2P) (tels que, les Torrents), des pièces jointes malicieuses (ex. faux formulaires d’embauche), de faux outils de mises à jour de logiciel, et les trojans. Pour cette raison, la clef de la sécurité d’ordinateur c’est la prudence. Utilisez toujours une suite antivirus/anti logiciel espion légitime et gardez toutes vos applications installées à jour. De plus, n’ouvrez jamais les pièces jointes envoyées à partir d’adresses emails suspectes et/ou non reconnues, et téléchargez, toujours, si possible, les fichiers/logiciels désirés à partir de sources dignes de confiance (tels que, le site web de téléchargement officiel. Les virus de types rançongiciels sont une bonne raison de maintenir des sauvegardes régulières de vos données stockées.

Capture d'écran du fichier HTML de Zepto :

Fichier html du rançongiciel Zepto

Capture d'écran du fichier BMP de Zepto :

Fichier BMP du rançongiciel Zepto

Message demandant une rançon:

*+_+~~-+~=~*$$-

!!! INFORMATION IMPORTANTE !!!!

Tous vos fichiers sont chiffrés en utilisant les chiffres RSA-2058 et AES-128.
Ici vous trouverez plus d’informations à propos des RSA et AES.
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Le déchiffrage de tous vos fichiers est seulement possible avec la clef privée et le programme de déchiffrage, qui sont localisés sur votre serveur secret.
Pour recevoir votre clef privée suivez simplement un de ces liens :
1. http://25z5g623wpqpdwis.tor2web.org
2. http://25z5g623wpqpdwis.onion.to

Si aucune de ces adresses n'est disponible, suivez ces étapes:
1. Télécharger et Installer le Navigateur Tor : https://www.torproject.org/download/download-easy.html
2. Après une installation réussie, exécuter le navigateur et attendez l'initialisation.
3. Saisissez dans la barre d'adresse : 25z5g623wpqpdwis.onion/
4. Suivez les instructions sur ce site.

!!! Votre ID d'identification personnel: - !!!

+$.+~-=*-.*.~.
=|++~--~=$_-|_
=$..

Capture d'écran de Zepto pour le site web fonctionnant avec Zepto (Locky) :

Site web du rançongiciel Zepto (identique à Locky)

Capture d'écran de pourriels propageant le rançongiciel Zepto :

Email distribuant Zepto (exemple 1) Email distribuant Zepto (exemple 2)

Suppression du rançongiciel Zepto :

Suppression instantanée automatique de Zepto virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Zepto virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus Zepto. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

restore system files and settings5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Zepto ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les fichiers restants du rançongiciel Zepto.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Zepto sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Zepto, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et Malwarebytes Anti-Ransomware, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Zepto).

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Source: https://www.pcrisk.com/removal-guides/10283-zepto-ransomware