Zepto opet i ponovo

Izgleda da Zepto još samo iz paštete ne iskače a kada će ne zna se.

Dakle ima ga svuda i vrlo je dosadan. I ako do sada niste naučili da vam je najvrjednija sprava koju imate u kući u stvari eksterni hard disk USB stick ili stari dobri DVD sa snimljenim podacima dokumentima i slično, onda razmislite još jednom. Zepto kao i druge ransomware napasti traži novce a prepoznatljiv je po više karakterističnih ekstenzija i da Za njega još uvijek nema besplatne dekripcije.

Lako će te ga prepoznati po ekstenzijama .zepto i .odin  no ono što će napraviti još veći problem je činjenica da mijenja imena fajlova. Kao i većina drugih ransomware napasti i ova će zaključava klasičnu listu datoteka kao što su doc. docx xmlx ili slike jpg png i slično.

Za sada nije primijećeno da oštećuje PST dokumente pa je iz Outlook a moguće povratiti dokumente koji su kriptirani s nekom varijantom Zepto.

Do sada je primijećeno oko 10 varijacija koje su sve bazirane na prvobitnoj varijanti Locky a koji još uvijek nije otključan odnosno za njega se oš nije pojavio dekripcijski alat. Načini infekcije su različiti. Najčešći način zaraze je putem word ili excel dokumenta koji je nažalost potpuno validan i ima ekstenziju docm odnosno word dokument s dodatnim macroom ( skripta koja omogućava brzo tipkanje ili neke automatizirane funkcije u dokumentu) . Sam dokument nije maliciozan no maliciozna u njemu je baš aktivna skripta koja pokrene preuzimanje ostatka malicioznog koda na zaraženi računar. Zbog toga je veoma dobra ideja isključiti mogućnost pokretanja macro skripti u svim office alatima jer se tako onemogućava pokretanje ove prijetnje. Kada jednom napadne računar poput drugih ransom prijetnji zaključava veoma jakom dvostrukom enkripcijom vaše dokumente koji su mu dostupni na tom account u a onda sve vidljive diskove na mreži po kojima može pisati. Važna napomena je da su prije diskovi morali biti mapirani na lokalnom računaru međutim zadnjih par verzija Zepto ransomware a Opšte ne moraju imati mapirane diskove već kriptiju pišu i brišu sve fajlove koje mogu vidjeti na mreži.

Dobra rješenja odbrane su redovni backup na vanjski otkopčavajući medij ( eksterni hard disk, Mrežni disk koji se može ugasiti nakon backup a ili snimanje na neki klasični medij kao što je DVD rom). S druge strane krajnje je preporučljivo da iako ste vi jedini korisnik računara sami sebi zatvorite pristup za instalaciju i pokretanje bilo kakvih exe datoteka. Ovo možete jednostavno uraditi tako što će te kada otvorite usere u Control Panelu postojećem korisniku dodijeliti ulogu user umjesto administrator.  Poželjno je i tom istom useru kao i administratoru dodijeliti malo ozbiljnije lozinke.

I to je to u stvari to je uglavnom sve što trenutno možete učiniti.

 

 

Ima li lijepih vijesti?

Bude nađe se po koja. Za sada više kompanija je posvetilo malo pažnje ovim prijetnjama jer već odavno ne stoji izgovor mi smo vas upozorili a vi ste ipak kliknuli na dokument.

Za sada tvrtke koje su prve napravile neke ozbiljnije alate za kontrolu i zaštitu od Ransomware prijetnji su Malwarebytes , Eset,  Sophos, Kaspersky. Ono što je posebno interesantno su tržišna kretanja između kompanija koje se bave zaštitom i sigurnosnim softverom tako da je nedavno kompanija Sophos kupila jednog od pionira u ovoj vrsti zaštite malu tvrtku Surf Right  koja stoji iza jednog od trenutno naj pouzdanijih alata za zaštitu od ransomware prijetnji “Hitman Pro“.

S druge strane izgleda da je skoro svaka iole ozbiljnija softverska kompanija otvorila komercijalni odjel koji bi trebao da se pozabavi prodajom aplikacija za ovu vrstu zaštite, međutim veoma često ta zaštita je samo deklarativna a način detekcije je potpuno isti kao što to radi i klasični antivirusni softver putem skeniranja digitalnog potpisa svake datoteke i njenim uspoređivanjem u bazi poznatih detekcija.

Ono što obećava je činjenica da se pristupa nekim novim konceptima monitoringa fajlova koji bi mogli biti maliciozni. Ti koncepti su na primjer pokretanje aplikacije u zatvorenom okruženju ( virtual Sandbox) te praćenje njenih karakteristika i aktivnosti. Ako se aplikacija obraća velikom broju dokumenata automatski postaje označena kao maliciozna a u mrežu se odmah šalje rezultat detekcije ove aplikacije na centralne update servere.

Drugi daleko jednostavniji ali ne i lošiji pristup je monitoring promjene sadržaja datoteka. Istina za nas kompjuter razaznaje fajlove s enkripcijom jer je to za njega i dalje validan fajl no u koliko se poslože određeni paterni na fajlovima Ransomware opasnost je desetkovana.

Postoje i pokušaju da se putem mrežne filtracije onemogući preuzimanje malicioznog softvera međutim cjelokupan taj koncept zavisi od razine propagacije informacije o viralnom izvoru.

No ni ucjenjivači za ovo vrijeme nisu sjedjeli skrštenih ruku.

Nove ransom prijetnje  više ne dolaze isključivo kao zip arhiva koju morate raspakirati već sada dolaze kao potpuno validan i ispravan word dokument koji čak što više ima i svoj sadržaj koji izgleda poput nekog računa ili dopisa. Maliciozni dio ovog dokumenta uopće nije vidljiv i nalazi se u macro naredbama koje pokreću preuzimanje ostatka viralnog materijala te se na korisničkom računaru iz više dijelova sklapa maliciozna aplikacija koja zaključava fajlove.

Trenutno je veoma teško i pratiti izvore informacija o ransomware prijetnjama. Kao prvo zato što ih ima tako puno (samo u mjesecu Julu se pojavilo preko 18 novih varijanti)  a s druge strane tu je problem s veoma lošim izvorima informacija pa je postalo veoma teško putem pretraživača naći relevantne linkove koji se bave ovom tematikom a da zaobiđete glupe click byte stranice koje su po 250 put prepisale nešto i u isto vrijeme dodale svojih barem 50 grešaka.

Kao dobar izvor informacija je svakako portal “www.bleepingcomputer.com” koji je uveo neku vrstu nedjeljnog biltena prijetnji uglavnom orijentiranih na ransomware. Portal je naravno zanimljiv i zbog drugih IT sadržaja, no predug boravak na ovom mjestu i čitanje o računarskoj i svakoj drugoj sigurnosti vas lako mogu pretvoriti u paranoika.

Drugi dobar izvor informacija je naravno ReddIt.com Većina postova je orijentirana na slatke kuce i maće no reddit je dobar izvor informacija po pitanju ransomware a jer se par ljudi isključivo s tim i bavi te su stekli popriličnu reputaciju zbog kvalitete tekstova i analiza.

Kako do descriptora?

Za ZEPTO još uvijek nema dekripcijskog alata, no zato ih ima za neke druge ransomware prijetnje.

Ima više izvora dekripcijskih alata. Trenutno ih je više objavio Kaspersky lab kao i emsisoft.com. Većinu kvalitetnih i upotrebljivih decriptora (da ima i onih koji ništa ne rade) je moguće potražiti na ranije pomenutom www.bleepingcomputer.com

Još uvijek se za osnovne mjere povratka podataka preporučuju kopanje po Shadow backup kopiji iako je većina ransomware napasti gasi na nivou servisa, kao i pokušaj da se forenzičkim data recovery alatima izvuku obrisani dokumenti koji su kriptirani. I ovo je veoma često uzaludan pokušaj jer se kriptirani podaci obično prepisuju preko točno istog mjesta na disku na kojem su postojali ranije originalni podaci.

 

Pin It on Pinterest

Verified by ExactMetrics