Sugerencia Nuevo virus variante de crypto locky

alesio_sps

Moderador y Guru
Joined
Dec 21, 2010
Likes
167
#1
Como lo dice el titulo, hay una nueva variante de este virus extorcio, en este caso la extensión que usa es .zepto, tiene el mismo funcionamiento, te llega un mail con un js adjunto, si sos un user con poca experiencia es normal que lo quieras abrir, el AV no lo ve, se ejecuta el js y empieza a encryptar todos los archivos de la PC, siguiendo por las unidades de red. La mejor forma de prevenirlo por ahora es concienciar a la gente que tiene acceso a los mails.
La forma rápida de encontrarlo es buscar por extensión *.zepto en el buscador, la pc que lo albergue va a tener todos los archivos convertidos a .zepto, hay que sacarla de la red, y hasta que no se encuentre cual es lo mejor es apagar todas las pcs que tengan archivos compartidos.
En cada lugar donde el virus ataque archivos nos va a dejar un archivo (html en este caso) con instrucciones para que podamos recuperar la información, a través de un pago obviamente.
cryptozepto.png


Actualmente recibe bitcoins, 0.5 bitcoins es el valor de la recuperación algo como 320 dolares. Demas esta decir que nadie nos garantiza que la key que recibamos sea efectiva y que no hayamos tirado un poco de dinero a la basura.

Como ya les dije, la mejor forma de prevenir este tipo de ataques es concienciando a los usuarios para que no entren en cualquier lugar y no habrán cualquier cosa que les llegue por mail, backup periódico en una PC fuera de red, y si ya nos ataco parar toda la actividad posible hasta encontrar la pc con el virus antes de empezar la restauración.

Les dejo un video con una demostracion:


Y otro en donde muestran como removerlo en win7 o superior, en xp por lo que pude ver solo se ejecuta en memoria y no deja el mismo rastro que en versiones de windows mas actuales, en este caso con reiniciar el equipo matamos el virus, no así el daño que haya hecho.


Espero les sirva de algo la información, ayer trabaje hasta tarde culpa del amigo virus en cuestión.

Saludos.
 

Tino

Nivel Experto
Joined
Apr 9, 2016
Likes
42
#2
Escuche de una persona cercana que le afecto este virus. Te hace sonar hasta lo que tenes en la nube no?

Y yo que pensé que con mi TB de Onedrive estaba a salvo de todo. Quizás debería volver a los backup tradicionales como método extra, nunca mas hice desde que se me murió el disco externo.
 

alesio_sps

Moderador y Guru
Joined
Dec 21, 2010
Likes
167
#3
No tengo cloud en el trabajo, uso almacenamiento fragmentado que aunque suene feo me ha salvado varias veces, pero viendo como trabaja el virus si la PC infectada tiene acceso a la unidad cloud seguro te revienta todo lo que tengas ahí. Pero siempre que no abras mails con adjuntos sospechosos .js o con macros y lo mismo para descargas de la web no pasa nada, no es un virus que se ejecute solo necesita de la ignorancia humana para funcionar.

Saludos.
 
Joined
Apr 21, 2016
Likes
121
Location
Argentina
#5
Se pueden recuperar, hackeando el virus, pero es "algo" dificil de realizar sin los conocimientos adecuados.

Para backups discos, mas de un backups , 4 es el número adecuado para mí, hoy es todo digital.
 

alesio_sps

Moderador y Guru
Joined
Dec 21, 2010
Likes
167
#6
Es como dice pachu, podes ponerte a leer el virus y crear un keygen, pero no es nada fácil, la otra es probar por fuerza bruta, pero necesitas mucha potencia para tener resultados en corto plazo o tener mucha suerte.

Saludos.
 

[Psy]

Nivel Avanzado
Joined
Apr 4, 2016
Likes
24
#7
Te hace sonar hasta lo que tenes en la nube no?
Eso depende de como lo tengas configurado. El virus usualmente lo que hace es buscar todas las unidades que están conectadas al sistema: externas, pendrive, unidades compartidas de red, etc. Es bastante sistemático lo que hace.
Si tenés un Dropbox o Onedrive en modo sync, lo que va ocurrir es que va a encriptar lo que tengas en esas carpetas, y el sync va a mandar esos cambios a la nube. En el caso de Dropbox eso no es gran problema porque tiene versionado de archivos, osea, volvés atrás una versión y listo.

Se pueden recuperar, hackeando el virus, pero es "algo" dificil de realizar sin los conocimientos adecuados.
No se este caso en particular, que entiendo es una variante en Javascript, pero otros ransomware potentes que andan por ahí, no vas a poder recuperarlo ni siquiera hackeando el virus, porque una vez encriptados los archivos, el virus transmite la clave al servidor externo y destruye la copia local.

Fuerza bruta a RSA-2048 es absolutamente imposible en términos de vida del sistema solar :p