Supprimer Zepto ransomware

 

Zepto ransomware est une nouvelle version du ransomware Locky publiée le 27 Juin 2016. Tout comme son prédécesseur, il utilise un algorithme (RSA-2048 et AES-128) de chiffrement asymétrique. Mais il y a quelques particularités à cette nouvelle variante.

A propos de Zepto Ransomware

Zepto Ransomware est écrit en JS (Javascript). Une fois à l’intérieur de votre système, Windows exécute le module wsscript.exe et exécute le script. Aucune vérification de code n’est effectuée ni de scans de sécurité. L’exécutable .js se connecte au serveur C & C (Command & Control) pour télécharger le plus gros du ransomware. Et, une fois qu’il est téléchargé, le virus de codage scrute le système de l’ordinateur et verrouille les données. Il cible les fichiers avec les extensions suivantes:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

Le virus de cryptage Zepto renomme les fichiers cryptés avec un énorme nom de fichier. Un exemple d’un nom d’un fichier crypté – 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto. L’ID de la victime sera les 16 premiers caractères du nom du fichier, qui est 024BCD3341D1ACD3. Ce virus de cryptage modifie également le type de fichiers, qui deviennent alors des fichiers ZEPTO. Sur une note intéressante, cet encodeur écrase les fichiers et supprime les versions originales. Le fichier _HELP_instructions.bmp, contenant la note de rançon, remplace le papier peint du bureau. Les fichiers _HELP_instructions.html sont déposés dans tous les dossiers de fichiers chiffrés et sur le bureau de la victime. La note se lit comme suit:

!!! IMPORTANT INFORMATION !!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.

More information about the RSA and AES can be found here:

[links to wikipedia]

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.

To receive your private key follow one of the link

[Tor Web links given]

If all of this addresses are not available, follow these steps:

[les instructions sur comment le télécharger et comment installer Tor sont données]

!!! Your personal identification ID: A2E4B02F73265D55 !!!

Bien que non divulgué dans la note, le montant de la rançon est le même que celui du ransomware de Locky – 0,5 BTC (Bitcoins) soit un montant de 319.86 USD à l’heure actuelle. Pas une énorme somme, mais ce serait dommage de la perdre.

Comment est distribué Zepto Ransomware ?

Le virus Zepto est un virus cheval de Troie. Il se propage par l’intermédiaire de fichiers infectés .js, qui ressemblent à des fichiers .doc ou .pdf, et sont ajoutés aux e-mails et envoyés à la victime. Ces e-mails tombent dans le dossier spam des comptes e-mail des utilisateurs ciblés. Ils sont déguisés en documents importants émis par des sociétés légitimes. Celles-ci peuvent être PayPal, FedEx, vos institutions locales telles que les douanes, etc. Une fois la pièce jointe est ouverte, tous les maux se répandent.

Comment décrypter les fichiers chiffrés par Zepto Ransomware ? ?

Le virus Zepto Ransomware tout comme le ransomware Locky, est encore indécryptable. Très probablement, si le décrypteur pour Locky est développé, il conviendra à Zepto aussi. Mais, pour l’instant, la seule solution pour récupérer vos données est d’appliquer des outils de récupération de données telles que les logiciels de Kaspersky Lab, R-Studio, PhotoRec, etc. Il semble que ce codage, de manière similaire à Locky, supprime les copies de Volume Shadow. Alors Service Volume Shadow, même si il est utilisé, ne sera d’aucune utilité. Par ailleurs, si vous avez enregistré des copies de vos fichiers dans certains appareils ou services de stockage externes, vous êtes sauvé. Sinon, la seule solution reste la récupération de données avec des outils professionnels. Il serait sage pour vous de faire usage d’un disque dur externe ou, par exemple, d’un service de Cloud à l’avenir. La récupération de fichiers n’est pas la seule chose que vous devez faire. Plus important encore, vous devez retirer le ransomware. Employez Reimage, SpyHunter ou Hitman outils automatiques de suppression de logiciels malveillants. Ils vont scanner le système de l’ordinateur de sorte qu’aucun virus ou ses restes ne seront laissés. Les instructions sur la façon d’éliminer manuellement les virus Zepto sont fournis ci-dessous.

Comment supprimer Zepto ransomware en utilisant System Restore(Restauration du système)?

1. Redémarrer votre ordinateur en Mode sans échec avec Invite de commande


Pour Windows 7 / Vista/ XP
  • Démarrer → Eteindre → Redémarrer → OK.
  • Appuyer sur la touche F8 de façon répétée jusqu’à ce que la fenêtre Options de démarrage avancé apparaisse.
  • Choisir Mode sans échec avec Invite de commande. Windows 7 enter safe mode

Pour Windows 8 / 10
  • Appuyer sur Alimentation sur l’écran de démarrage de Windows. Puis appuyer et maintenir la touche Majuscule et cliquer sur Redémarrer. Windows 8-10 restart to safe mode
  • Choisir Dépanner → Options avancées → Paramètres de démarrage et cliquer sur Redémarrer.
  • Lorsque cela charge, sélectionnez Activer Mode sans échec avec Invite de commande dans la liste des Paramètres de démarrage.Windows 8-10 enter safe mode

Restaurer les fichiers du système et les paramètres.
  • Lorsque le mode Invite de commande charge, entrer la restauration de cd et appuyer sur Entrée.
  • Puis entrer rstrui.exe et appuyez à nouveau sur Entrée.CMD commands
  • Cliquez sur “Suivant” dans la fenêtre qui est apparue. Restore point img1
  • Sélectionner un des Point de restauration qui sont disponibles avant que Zepto virus ait infiltré votre système puis cliquer sur “Suivant”. Restore point img2
  • Pour démarrer la Restauration du système, cliquer sur “Oui”.Restore point img3

2. Compléter la suppression de Zepto ransomware

Après la restauration du système, il est recommandé d’analyser votre ordinateur avec un programme anti logiciels malveillants, comme  Reimage, Spyhunter et de supprimer tous les fichiers malveillants en lien avec Zepto virus.

3. Restaurer les fichiers affectés par Zepto ransomware en utilisant les copies Shadow Volume

Si vous n’utilisez pas l’option Restauration du système sur votre système d’exploitation, il y a une chance pour utiliser des copies de snapshots de fenêtres. Ils stockent les copies de vos fichiers qui pointent le temps lorsque le snapshot de restauration du système a été créé. Habituellement, Zepto virus essaie de supprimer toutes les copies Shadow Volume, donc ces méthodes peuvent ne pas fonctionner sur tous les ordinateurs. Cependant, cela pourrait échouer.

Les copies Shadow Volume sont uniquement valables avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Il y a deux moyens de retrouver vos fichiers via la copie Shadow Volume. Vous pouvez le faire en utilisant les précédentes versions de Windows ou via Shadow Explorer.

a) Précédentes versions Windows d’origine

Clic droit sur un fichier crypté et sélectionner Propriétés>onglet Versions précédentes. Maintenant, vous verrez toutes les copies disponibles dans ce fichier en particulier et le moment où il a été stocké dans la copie Shadow Volume. Choisir la version du fichier que vous voulez retrouver et cliquer sur Copie si vous voulez le sauvegarder dans un répertoire de votre choix, ou Restaurer si vous voulez remplacer, le fichier crypté existant. Si vous voulez voir le contenu du premier fichier, cliquer sur Ouvrir.
Previous version


b) Shadow Explorer

C’est un programme qui peut être trouvé en ligne gratuitement. Vous pouvez télécharger soit une version complète soit portable de Shadow Explorer. Ouvrez le programme. Dans le coin supérieur gauche, sélectionnez le lecteur où le fichier que vous cherchez est un stocké. Vous verrez tous les dossiers sur ce lecteur. Pour récupérer un dossier entier, clic-droit dessus et sélectionnez "Exporter". Ensuite, choisissez où vous voulez qu'il soit stocké.
Shadow explorer

Remarque: Dans de nombreux cas, il est impossible de restaurer les bases de données affectées par les nouveaux logiciels escrocs. Par conséquent, nous recommandons une sauvegarde sur le Cloud en précaution. Nous recommandons de retirer Carbonite, BackBlaze, CrashPlan ou Mozy Home.

Outils de suppression automatique du ransomware Zepto ransomware

 

Autres outils

 
  0   0
    Malwarebytes’ Anti-Malware
 
  Télécharger Reimage pour la détection du Zepto ransomwareLe process de détection de Reimage permet de détecter un parasite comme le permet de détecter un parasite comme le Zepto ransomware et son retrait gratuit.Vous pouvez supprimer les fichiers détectés, processus et entrées de registre vous-même ou acheter une version complète.
  We might be affiliated with some of these programs. Full information is available in disclosure             
     

Une réflexion au sujet de « Zepto ransomware »

  1. Pierre
     

    Merci pour vos explications, c’est la première fois que je lis une présentation aussi claire et exhaustive, même si les nouvelles ne sont pas très bonnes. Pour ma part, c’est un peu tard, :-(.

    Au plaisir de vous relire.

     

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

* Copy This Password *

* Type Or Paste Password Here *