ZEPTO - נוזקת כופר

שחזור מידע מוירוס כופר זפטו

הצוות המקצועי שלנו עומד לרשותכם בטלפון 072-3929001. ניתן לשלוח הודעה באמצעות הטופס ואנו נחזור אליכם.

כופרת ZEPTO - תיאור כללי

10.05.2017 | שגיא צמח הכהן

 

כופרת ה"זפטו" או כפי שהיא ידועה בשמה הלועזי Zepto Ransomware גרסה של הסוס הטרויאני "לוקי" "Locky Ransomware" אשר נועדה להדביק את כל הגרסאות של מערכת ההפעלה "Windows", מ-Windows XP כל הדרך ל-windows 10. כופרות טרויאניות כמו ה-Zepto Ransomware אלה קודים שלא משחקים. הם משוכתבים על "סרוק ותפוס", מכיוון שגם אם הסרת את ריצת הקוד בליבה, הקבצים בתחנה עדיין לא נגישים מאחר והם הוצפנו.

 

בעיקרון, קוד ה-Zepto הוא מהיר ביותר בלכידת קבצים בדיסק הקשיח כבני ערובה משחק של הרשאות על תמונת ה index של הליבה בפורמטים שהוגדרו מראש על ידי ה-Team, הקוד מצפין אותם ודורש תשלום כופר כדי לפענח אותם.

מרגע זה הקבצים בפורמטים שהוגדרו לכך (ראה טבלה למטה) מוצפנים על ידי ה-Zepto ובלתי ניתנים לשחזור ללא מפתח הפענוח, לכן המעבדה לשחזור מידע מייעצת לכל משתמשי המחשב לנקוט בצעדי מניעה מיידים בכדי להימנע מלהפוך קורבנות של ה-Zepto והתקפות של כופרות טרויאניות דומות על ידי עדכוני מערכת ותכנות אבטחה.

 

קבצים שנפגעו מוירוס כופר Zepto Ransomware והוצפנו מה עושים?

כאשר קוד ה-Zepto רץ במחשב של הקורבן, הוא סורק את הקבצים של הקורבן ומצפין אותם באמצעות אלגוריתם הצפנה חזק. ה-Zepto משנה את סיומות הקבצים ל-Zepto ומרגע זה הקבצים מוצפנים.

 

למעבדה לשחזור מידע יש הידע ומכשור יעודי לפיצוח קוד ה-Zepto Ransomware בזמן יחסית קצר וברוב רובם של המקרים אנו מצליחים ליצור מפתחות ולשחזר מידע למעלה מ-95% מהקבצים המקודדים.

 

ברגע שקובץ מוצפן על ידי נוזקת כופר Zepto הוא הופך להיות בלתי נגיש. בסיום הצפנת קבצי הקורבן, ה-Zepto מריץ לוג מסמך המנחה את הקורבן באמצעות לינקים ל-Dark Net לקניית "Bitcoin", וכן ללינק לתשלום לקבוצה Hacking Team אשר תקפה. למעשה מרגע זה למשתמשי המחשב יש מעט אפשרויות לפיצוח ה-Zepto ולתקשור עם Hacking Team אשר הצפין את הקבצים במחשב הנגוע.

 

מתוך כך חשוב מאוד לפנות מהר מרגע קבלת ה-Log מה-"Zepto Ransomware" למעבדה לשחזור מידע, לנו יש את היכולת הייחודית לנו להגיע למידע ולשחזרו, הרבה לפני שה-Zepto Ransomware קולט שהוא למעשה "המותקף", לכן עניין הזמן הוא קריטי.

 

במקרה ועבר הזמן הנדרש ועבר גם בידיהם הנאמנות של הטכניים מסתבר שהקוד חוסל ואיתו ראשי המפתחות. לעניין זה פיתחתי כלי יעודי אשר פירוק ההצפנה מריץ מאות אלפי מפתחות. החיסרון בשיטה הבלעדית שלי היא שזה לוקח זמן. למשל חודש על דיסק של 1TR מידע.

 

התמודדות עם ה-Zepto  ואיומים דומים:

כמו שצוין מקודם השיטה הטובה ביותר היא מניעה. להלן צעדים שמשתמשי מחשב יכולים לנקוט כדי להימנע מלהיות קורבנות של קבוצות המשדרות "סרוק ותפוס" בסגנון ה- Zepto  ושל כופרות טרויאניות דומות:

  1. לגבות את כל הקבצים באופן קבוע על מיקום מחוץ לאתר. ה-Zepto  ודומיו מסתמכים על נטילת קבצים של משתמשי המחשב כבני ערובה, מה שהופך אותם בלתי נגישים עד הקורבן משלם עבור מפתח פענוח.
    אם הקורבן מסוגל לשחזר את הקבצים מתוך גיבוי, אז ההתקפה של ה- Zepto  הופכת לבלתי יעילה.

  2. בקש מהטכנאי של להתקין תוכנת "Anti-Maleware" חזקה ומעודכנת כדי לזהות את ה- Zepto  לפני שהוא מותקן במחשב. אם התכנה שלך פועלת בכל עת והיא אמינה, היא תוכל ליירט את ה-Zepto  ואיומים דומים לפני שהם יכולים לבצע את ההתקפות שלהם על המחשב.

  3. הימנע ככול הניתן מפתיחת קבצים מצורפים וקישורים מוטמעים ממקורות לא מהימנים. איומים כמו ה-Zepto עשויים להיות מופצים בעיקר באמצעות קבצי דוא"ל וקישורים.
    אם משתמשי המחשב לומדים לזהות ולמנוע שיטות אלה, זה יקטין משמעותית את הסיכויים להיות נגועים באחד מהאיומים הללו.

 

להלן סוגי הקבצים המוצפנים על ידי ה-Zepto  ואיומים דומים:

.123 | .3dm | .3ds | .3g2 | .3gp | .602 | .aes | .ARC | .asc | .asf | .asm | .asp | .avi | .bak | .bat | .bmp | .brd | .cgm | .cmd | .cpp | .crt | .csr | .CSV | .dbf | .dch | .dif | .dip | .djv | .djvu | .DOC | .docb | .docm | .docx | .DOT | .dotm | .dotx | .fla | .flv | .frm | .gif | .gpg | .hwp | .ibd | .jar | .java | .jpeg | .jpg | .key | .lay | .lay6 | .ldf | .m3u | .m4u | .max | .mdb | .mdf | .mid | .mkv | .mov | .mp3 | .mp4 | .mpeg | .mpg | .ms11 | .MYD | .MYI | .NEF | .odb | .odg | .odp | .ods | .odt | .otg | .otp | .ots | .ott | .p12 | .PAQ | .pas | .pdf | .pem | .php | .png | .pot | .potm | .potx | .ppam | .pps | .ppsm | .ppsx | .PPT | .pptm | .pptx | .psd | .rar | .raw | .RTF | .sch | .sldm | .sldx | .slk | .stc | .std | .sti | .stw | .svg | .swf | .sxc | .sxd | .sxi | .sxm | .sxw | .tar | .tbk | .tgz | .tif | .tiff | .txt | .uop | .uot | .vbs | .vdi | .vmdk | .vmx | .vob | .wav | .wb2 | .wk1 | .wks | .wma | .wmv | .xlc | .xlm | .XLS | .xlsb | .xlsm | .xlsx | .xlt | .xltm | .xltx | .xlw | .zip

פרטים טכניים:

קובץ ה-Zepto יוצר את הקבצים הבאים:

  • שם הקובץ: file.exe

  • גודל: 241'664

  • MD5: 65b84d4e47406489c3ad7e48defa09e8

  • ספירת איתור: 71.

הצוות המקצועי של המעבדה מתמחה בשחזור מידע מוירוס כופר.