Ampia diffusione del cryptovirus Zepto, erede di Locky

Ransomware ZEPTO si diffonde via email di spam e phighing I ricercatori Cisco hanno scoperto, alcuni giorni fa, una nuova infezione di cryptovirus che cifra i file aggiungendo l’estensione “.ZEPTO” e chiede un riscatto in bitcoin. Il ransomware si diffonde tramite spam di messaggi di posta elettronica di phishing che citano presunti documenti, fatture o scannerizzazioni in formato DOCM o ZIP presenti in allegato invitando la vittima ad aprirli.

Nei primi giorni di diffusione sono state identificate diverse migliaia di varianti del dropper, inviate a decine di migliaia di indirizzi e cominciano ad arrivare le prime segnalazioni di vittime i cui PC sono stati infettati dal trojan ZEPTO e che si ritrovano tutti i loro documenti criptati con estensione “.ZEPTO”.

Come mostra un’ottima analisi svolta da Antonio Cocomazzi sul blog SecurityAffairs, il ransomware Zepto è molto simile al ransomware Locky, in termini di comportamento, codice e pagina di richiesta di riscatto in bitcoin. I ricercatori Cisco hanno anche pubblicato una lista di hash rilevata nei primi giorni di diffusione del trojan, per permettere agli amministratori di sistema di impostare dei filtri sugli allegati e ai ricercatori di studiare il fenomeno.

Per entrambi i cryptovirus, Locky e Zepto, al momento non è disponibile alcun decryptor gratuito, non sono state vulnerabilità che permettono quindi di decifrare i file gratuitamente e recuperare i propri dati. Non appena i ricercatori scopriranno come decifrare i file con estensione ZEPTO aggiorneremo il Ransomware Blog.

Per chi desidera eseguire analisi tecniche su un sample del ransomware o visualizzare le analisi tecniche svolte dai sistemi di VM online, qui di seguito riporto i link del dropper e del payload:

Analisi sample del dropper del ransomware ZEPTO

  • https://www.hybrid-analysis.com/sample/ed65cc52a5c65b52d4c0c9624888c26a04294f48ef3c5d464401333d07e38801?environmentId=100
  • https://malwr.com/analysis/ZWIzZGZhNmNhNmM3NDU3YTg5ZmZhODA5M2FjOTU1ODU/
  • https://www.virustotal.com/en/file/ed65cc52a5c65b52d4c0c9624888c26a04294f48ef3c5d464401333d07e38801/analysis/

Analisi di un campione di payload del cryptovirus ZEPTO

  • https://www.hybrid-analysis.com/sample/ae0f64395eff7ff5a663701271d77a495a19076e890e596cb9d2237aaf0f317a?environmentId=100
  • https://malwr.com/analysis/NjYxZTE2YTk2NTAxNGQwZTkyM2UyNWU1ZWQ1YWEwYmY/
  • https://www.virustotal.com/en/file/ae0f64395eff7ff5a663701271d77a495a19076e890e596cb9d2237aaf0f317a/analysis/

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.