Onderzoekers hebben onlangs een nieuwe ransomware die een extensie aan de gecodeerde bestanden toevoegt, namelijk: Zepto. Zepto werd ontwikkeld door dezelfde cybercriminelen die verantwoordelijk zijn voor het verspreiden van de ransomware Locky. Bij Zepto verschijnt namelijk hetzelfde losgeldbericht. Nog een ander gelijkaardig cripto-virus dat zich op dezelfde manier verspreidt, is Bart Ransomware. Lees dit artikel om te weten hoe je Zepto ransomware moet verwijderen en hoe je je gegevens kan herstellen.
Overzicht bedreiging
| Naam |
Zepto |
| Type | Ransomware |
| Korte omschrijving | De ransomware maakt gebruik van 128-bit AES-codes om bestanden te versleutelen met een asymmetrisch algoritme zodat de cybercriminelen een andere decryptiesleutel hebben dan deze die gebruikt is voor de versleuteling. |
| Symptomen | De ransomware zal een .zepto extensie toevoegen en op die manier al je bestanden vergrendelen. Op je PC verschijnt een bericht om $300 losgeld in Bitcoins te betalen om je bestanden te laten ontsleutelen. |
| Verspreidingswijze | Spam e-mail berichten, e-mailbijlagen, Verdachte sites |
| Detectietool |
Controleer of je systeem door Zepto Zepto is aangetast Downloaden
Malware Remover
|
| Gebruikerservaring | Neem deel aan onze forum en leer meer over Zepto Ransomware. |
Ransomware Zepto – Hoe ben ik besmet geraakt?
De ransomware Zepto wordt verspreid via een spam email campagne die sterk lijkt op deze van de ransomwares Locky en Bart. Het e-mail bericht heeft een JavaScript-bestand met malware-code. Het volledige coderingsproces is goed gemaskeerd zodat de gebruiker enkel de gevolgen van de versleuteling kan merken.
Ransomware Zepto – nader onderzoek
Zepto is een ransomware die een nieuwe versie van de Locky ransomware blijkt te zijn. De naam Zepto komt van de extensie die aan de gecodeerde bestanden worden toegevoegd.
Sommige malware onderzoekers stellen met anderen die Zepto zou kunnen zijn gemaakt door verschillende malware-ontwikkelaars dan die van Locky ransomware.
Hoogstwaarschijnlijk maakt Zepto een nieuw entry in het Windows-register en start automatisch na het opstarten van Windows:
→HKCU\Software\Microsoft\Windows\CurrentVersion\Run [exe name]
Zodra jouw bestanden versleuteld zijn, creëert de ransomware Zepto twee bestanden met betalingsinstructies. Deze bestanden zijn:
- HELP_instructions.html
- HELP_instructions.bmp
Het losgeld bericht ziet er als volgt uit:
en zegt het volgende:
!!! BELANGRIJKE INFORMATIE!!!
Al je bestanden zijn versleuteld met RSA-2048 en AES-128-coderingen
Meer info over RSA en AES kan u hier vinden:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decoderen van al je bestanden is alleen mogelijk met de privé-sleutel en decodeerprogramma, welke zich op onze geheime server bevinden
Bezoek een van de volgende links om je privé-sleutel te ontvangen:
1. http://mphtadhci5mrdlju.tor2web(.)org/D7F6EEB0D8FC508E
2. http://mphtadhci5mrdlju.onion(.)to/D7F6EEB0D8FC508E
Als de links niet beschikbaar zijn, volg de stappen hieronder:
1. Download en instaleer Tor Browser: https://www.torproject.org/download/download-easy(.)html
2. Start je browser op en wacht tot de initialisatie is voltooid
3. Typ het volgende in de adresbalk: mphtadhci5mrdlju(.)onion/D7F6EEB0D8FC508E
4. Volg de instructies op de site.
!!! Jouw persoonlijke identificatiecode is: D7F6EEB0D8FC508E !!!
Het gevraagde losgeld is 0,5 Bitcoins. Dat is iets meer dan $315. Er verschijnen twee Tor-links met losgeldinstructies. Die lijken sterk op de berichten die bij Locky en Bart verschijnen. Betaal het losgeld niet, dit zal de cybercriminelen alleen maar rijker maken. Er is ook geen garantie dat je na de betaling jouw bestanden terug zal krijgen. De ransomware maakt geen bedreigingen, hij gebruikt enkel twee links naar betaalsites.
De ransomware Zepto maakt gebruik van RSA-2048 en AES-128-coderingen om de bestanden te versleutelen. De sleutel is asymmetrisch. Dit betekent dat hij verschillend is dan de encryptiesleutel en dat hij door de ontwikkelaars van de ransomware wordt verzonden. Zepto lijkt sterk op de ransomware Bart en verscheen bijna tegelijk met Bart. Als de nieuwe versie van Locky op de zwarte markt zou worden verkocht, zouden de extensies die de ransomware versleutelt net dezelfde als die van Bart zijn geweest:
→.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip,
.djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myf, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip
Wanneer de versleuteling voltooid is, zal je merken dat alle bestanden op je computer nieuwe namen (met symbolen) en nieuwe extensies hebben gekregen – .zepto. De symbolen zijn hexadecimaal en ze worden gevormd van het ransoware-identificatienummer van het slachtoffer. De ransomware Locky veranderde de namen van de bestanden net op zelfde manier.
De ransomware Zepto kan mogelijk de Shadow Volume Copies Windows verwijderen. Lees verder om te weten hoe je je gegevens weer in hun oorspronkelijke staat kan herstellen.
De Ransomware Zepto Verwijderen en de .zepto Gecodeerde Bestanden Herstellen
Als je computer met de ransomware Zepto wordt besmet, moet je een beetje ervaring met malware hebben om je probleem te kunnen oplossen. Je moet van de ransomware zo snel mogelijk af omdat hij anders steeds meer van je gegevens zal versleutelen en zich dieper in je PC zal spreiden. Het is aangeraden om de ransomware volledig te verwijderen door de hieronder beschreven instructies te volgen:
Hoe Zepto van je computer verwijderen? (handmatig)
Aandacht! Belangrijke mededeling m.b.t. Zepto: de handmatige verwijdering van Zepto vereist het aanbrengen van wijzigingen in de systeembestanden en registers. Dit kan dus schade aan je PC veroorzaken. Beschik je niet over de vereiste kennis? Geen probleem, je kunt dit doen door een malware remover te gebruiken.
Computer in veilige modus opstarten.
1. Voor Windows 7, XP en Vista.
2. Voor Windows 8, 8.1 en 10.Voor besturingssystemen Windows XP, Vista en 7:
1. Verwijder alle CDs en DVDs en start de computer opnieuw op via de “Start” menu
2. Kies één van de onderstaande opties:
– voor computers met één besturingssysteem: Druk meerdere malen op F8 tijdens het opstarten totdat het eerste scherm verschijnt. Als je het Windows-logo op het scherm ziet verschijnen, moet je de procedure nogmaals doorlopen.
– Voor computers met meerdere besturingssystemen: Gebruik de pijlen om het besturingssysteem dat je in veilige modus wil opstarten te selecteren. Druk meerdere malen op F8 tijdens het opstarten (zoals hierboven beschreven).
3. Als je het scherm “Advanced Boot Options” ziet verschijnen, gebruik de pijlen om “Safe Mode” te selecteren. Klik daarna op Enter om je keuze te bevestigen.
4. Log in als administrator.
Als je computer in veilige modus is, wordt de melding “Safe Mode” weergegeven in de hoeken van uw beeldscherm.
Stap 1: Open het Start Menu.
Stap 2: Houd “Shift” ingedrukt, klik op “Power” en daarna op “Restart”.
Stap 3: Nadat je computer opnieuw is opgestart, krijg je het onderstaande menu te zien. Klik dan op “Troubleshoot”.
Stap 4: Je zal het menu “Troubleshoot” zien. Daar moet je “Advanced options” kiezen.
Stap 5: In het menu “Advanced options” klik je op “Startup Settings”.
Stap 6: Klik op “Restart”.
Stap 7: Je zal een “Restart menu” zien verschijnen. Hier moet je “Safe Mode”. Dit doe je door het corresponderende cijfer van je toetsenboord te typen. Je computer zal opnieuw opstarten.
Automatisch verwijderen Zepto door het downloaden van een geavanceerde anti-malware programma.
1. Zepto wet Anti-Malware SpyHunter verwijderen
1. Om Zepto te verwijderen moet je eerst SpyHunter installeren.Scan je computer met SpyHunter om de Zepto te verwijderen.
Het is sterk aangeraden dat je eerst je computer scant en pas daarna je de volledige versie van SpyHunter bestelt. Zo ben je zeker dat SpyHunter de malware gedetecteerd heeft
Stap 2: Volg de downloadinstructies op je browser
Stap 3: Wacht tot de installatie voltooid is en totdat de laatste updates geïnstalleerd zijn.
Stap1: Nadat de update voltooid is, klik op “Scan Computer Now”.
Stap 2: Eens de scan is beëindigd zal je alle malwares in de bedreiging box zien. Zepto moet ertussen zijn. Klik op “Fix Threats” om ze automatisch te verwijderen.
Stap 3: Nadat je alle malware hebt verwijderd is het aangeraden om je computer opnieuw op te starten.
Optioneel: Gebruiken van alternatieve anti-malware software
STOPZilla Anti MalwareStap 1: Download STOPZilla by clicking here.
Stap 2: Klik daarna op “Save file”. Als het bestand niet gedownload, is klik dan nogmaals op de downloadlink.
Stap 3: Start de installatie op.
Stap 4: Je ziet het installatievenster verschijnen. Klik op “Next”.
Stap 5: Selecteer “I accept the agreement” en klik op “Next”.
Stap 6: Controleer de gegevens en klik op “Install”.
Stap 7: Nadat de installatie is voltooid, klik op “Finish”.
2. Scan je computer met STOPZilla Anti Malware om alle bestanden van Zepto automatisch te verwijderen.
Stap 1: Start STOPZilla op (tenzij je dat meteen na da installatie hebt gedaan).
Stap 2: Wacht tot de updates geïnstalleerd zijn en klik op “Scan Now”. Als de scan niet automatisch start, klik dan op “Scan Now”.
Step 3: Nadat alle bedreigingen verwijderd zijn, start je je PC opnieuw op.
