Ampia diffusione del cryptovirus Zepto, erede di Locky

I ricercatori Cisco hanno scoperto, alcuni giorni fa, una nuova infezione di cryptovirus che cifra i file aggiungendo l’estensione “.ZEPTO” e chiede un riscatto in bitcoin. Il ransomware si diffonde tramite spam di messaggi di posta elettronica di phishing che citano presunti documenti, fatture o scannerizzazioni in formato DOCM o ZIP presenti in allegato invitando la vittima ad aprirli.

Nei primi giorni di diffusione sono state identificate diverse migliaia di varianti del dropper, inviate a decine di migliaia di indirizzi e cominciano ad arrivare le prime segnalazioni di vittime i cui PC sono stati infettati dal trojan ZEPTO e che si ritrovano tutti i loro documenti criptati con estensione “.ZEPTO”.

Come mostra un’ottima analisi svolta da Antonio Cocomazzi sul blog SecurityAffairs, il ransomware Zepto è molto simile al ransomware Locky, in termini di comportamento, codice e pagina di richiesta di riscatto in bitcoin. I ricercatori Cisco hanno anche pubblicato una lista di hash rilevata nei primi giorni di diffusione del trojan, per permettere agli amministratori di sistema di impostare dei filtri sugli allegati e ai ricercatori di studiare il fenomeno.

Per entrambi i cryptovirus, Locky e Zepto, al momento non è disponibile alcun decryptor gratuito, non sono state vulnerabilità che permettono quindi di decifrare i file gratuitamente e recuperare i propri dati. Non appena i ricercatori scopriranno come decifrare i file con estensione ZEPTO aggiorneremo il Ransomware Blog.

Per chi desidera eseguire analisi tecniche su un sample del ransomware o visualizzare le analisi tecniche svolte dai sistemi di VM online, qui di seguito riporto i link del dropper e del payload:

Elenco degli argomenti

Analisi sample del dropper del ransomware ZEPTO

https://www.hybrid-analysis.com/sample/ed65cc52a5c65b52d4c0c9624888c26a04294f48ef3c5d464401333d07e38801?environmentId=100
https://malwr.com/analysis/ZWIzZGZhNmNhNmM3NDU3YTg5ZmZhODA5M2FjOTU1ODU/
https://www.virustotal.com/en/file/ed65cc52a5c65b52d4c0c9624888c26a04294f48ef3c5d464401333d07e38801/analysis/

Analisi di un campione di payload del cryptovirus ZEPTO

https://www.hybrid-analysis.com/sample/ae0f64395eff7ff5a663701271d77a495a19076e890e596cb9d2237aaf0f317a?environmentId=100
https://malwr.com/analysis/NjYxZTE2YTk2NTAxNGQwZTkyM2UyNWU1ZWQ1YWEwYmY/
https://www.virustotal.com/en/file/ae0f64395eff7ff5a663701271d77a495a19076e890e596cb9d2237aaf0f317a/analysis/

Termini di ricerca frequenti

Zepto
File Zepto
Virus Zepto
Zepto Ransomware
Estensione Zepto
Zepto Estensione
Zepto Virus
Zepto Ransomware Virus
Payload Ransomware
Recuperare File Criptati Con Zepto
File Criptati Zepto
Zepto Come Recuperare

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Analisi sample del dropper del ransomware ZEPTO

Analisi di un campione di payload del cryptovirus ZEPTO

Termini di ricerca frequenti

Lascia un commento Annulla risposta