Sugerencia Nuevo virus variante de crypto locky

alesio_sps

Moderador y Guru
Dec 21, 2010
3,020
161
98
33
Como lo dice el titulo, hay una nueva variante de este virus extorcio, en este caso la extensión que usa es .zepto, tiene el mismo funcionamiento, te llega un mail con un js adjunto, si sos un user con poca experiencia es normal que lo quieras abrir, el AV no lo ve, se ejecuta el js y empieza a encryptar todos los archivos de la PC, siguiendo por las unidades de red. La mejor forma de prevenirlo por ahora es concienciar a la gente que tiene acceso a los mails.
La forma rápida de encontrarlo es buscar por extensión *.zepto en el buscador, la pc que lo albergue va a tener todos los archivos convertidos a .zepto, hay que sacarla de la red, y hasta que no se encuentre cual es lo mejor es apagar todas las pcs que tengan archivos compartidos.
En cada lugar donde el virus ataque archivos nos va a dejar un archivo (html en este caso) con instrucciones para que podamos recuperar la información, a través de un pago obviamente.
cryptozepto.png


Actualmente recibe bitcoins, 0.5 bitcoins es el valor de la recuperación algo como 320 dolares. Demas esta decir que nadie nos garantiza que la key que recibamos sea efectiva y que no hayamos tirado un poco de dinero a la basura.

Como ya les dije, la mejor forma de prevenir este tipo de ataques es concienciando a los usuarios para que no entren en cualquier lugar y no habrán cualquier cosa que les llegue por mail, backup periódico en una PC fuera de red, y si ya nos ataco parar toda la actividad posible hasta encontrar la pc con el virus antes de empezar la restauración.

Les dejo un video con una demostracion:


Y otro en donde muestran como removerlo en win7 o superior, en xp por lo que pude ver solo se ejecuta en memoria y no deja el mismo rastro que en versiones de windows mas actuales, en este caso con reiniciar el equipo matamos el virus, no así el daño que haya hecho.


Espero les sirva de algo la información, ayer trabaje hasta tarde culpa del amigo virus en cuestión.

Saludos.
 

Tino

Nivel Experto
Apr 9, 2016
145
42
23
30
Escuche de una persona cercana que le afecto este virus. Te hace sonar hasta lo que tenes en la nube no?

Y yo que pensé que con mi TB de Onedrive estaba a salvo de todo. Quizás debería volver a los backup tradicionales como método extra, nunca mas hice desde que se me murió el disco externo.
 

alesio_sps

Moderador y Guru
Dec 21, 2010
3,020
161
98
33
No tengo cloud en el trabajo, uso almacenamiento fragmentado que aunque suene feo me ha salvado varias veces, pero viendo como trabaja el virus si la PC infectada tiene acceso a la unidad cloud seguro te revienta todo lo que tengas ahí. Pero siempre que no abras mails con adjuntos sospechosos .js o con macros y lo mismo para descargas de la web no pasa nada, no es un virus que se ejecute solo necesita de la ignorancia humana para funcionar.

Saludos.
 

Datafer2

Nivel Intermedio
Apr 22, 2016
26
4
3
51
Hola.
Los archivos una vez encriptados, son irrecuperables (obviando el tema de pagar)?
 

Pachu99

VIP
Apr 21, 2016
649
121
48
48
Argentina
Se pueden recuperar, hackeando el virus, pero es "algo" dificil de realizar sin los conocimientos adecuados.

Para backups discos, mas de un backups , 4 es el número adecuado para mí, hoy es todo digital.
 

alesio_sps

Moderador y Guru
Dec 21, 2010
3,020
161
98
33
Es como dice pachu, podes ponerte a leer el virus y crear un keygen, pero no es nada fácil, la otra es probar por fuerza bruta, pero necesitas mucha potencia para tener resultados en corto plazo o tener mucha suerte.

Saludos.
 

[Psy]

Nivel Avanzado
Apr 4, 2016
62
23
8
about.me
Te hace sonar hasta lo que tenes en la nube no?
Eso depende de como lo tengas configurado. El virus usualmente lo que hace es buscar todas las unidades que están conectadas al sistema: externas, pendrive, unidades compartidas de red, etc. Es bastante sistemático lo que hace.
Si tenés un Dropbox o Onedrive en modo sync, lo que va ocurrir es que va a encriptar lo que tengas en esas carpetas, y el sync va a mandar esos cambios a la nube. En el caso de Dropbox eso no es gran problema porque tiene versionado de archivos, osea, volvés atrás una versión y listo.

Se pueden recuperar, hackeando el virus, pero es "algo" dificil de realizar sin los conocimientos adecuados.
No se este caso en particular, que entiendo es una variante en Javascript, pero otros ransomware potentes que andan por ahí, no vas a poder recuperarlo ni siquiera hackeando el virus, porque una vez encriptados los archivos, el virus transmite la clave al servidor externo y destruye la copia local.

Fuerza bruta a RSA-2048 es absolutamente imposible en términos de vida del sistema solar :p