Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Zepto : crypto-ransomware

Zepto est un crypto-ransomware chiffrant (cryptant) les fichiers de l'utilisateur puis demandant le paiement d'une rançon pour communiquer le moyen de les déchiffrer.

 - Zepto Zepto - 01   Zepto  - Zepto - Crypto-ransomware Zepto

Ransomware Zepto

Zepto est un crypto-ransomware, une forme particulière de ransomware agissant en cryptoware en chiffrant/cryptant tous vos fichiers (sauf les fichiers de Windows afin de vous permettre de démarer l'ordinateur et de payer la rançon demandée).

Il s'agit d'une variante de Locky.

Zepto est diffusé via des vagues de spams, lancés en utilisant des BotNets, accompagnés d'une pièce jointe compressée (format .zip) contenant un exécutable JavaScript « .js » malveillant. Il comporte de nombreuses similitudes avec Locky et la pièce jointe existe en une infinité de variantes qui rend difficile, voire impossible, son identification par signature de virus (« Virus signature ») et par approximations (analyses heuristiques). Seule l’analyse du comportement de la pièce jointe, en l’ouvrant dans une sandbox ou une machine virtuelle. Une question s’est posée, lors de l’émergence de Zepto : est-ce que Zepto ne serait, non pas une « simple » variante de Locky, mais une malveillance fabriquée dans le cadre d’une professionnalisation et industrialisation des cybercriminalités ?

Le soupçon du CaaS

Craig Williams, responsable technique principal et responsable mondial de la sensibilisation chez Cisco Talos, déclare :

« Nous surveillons très attentivement Zepto. Il est étroitement lié à Locky et partage bon nombre des mêmes attributs. Il y a encore beaucoup à apprendre sur Zepto. Autant que nous puissions en juger, il s’agit d’une nouvelle variante de Locky ou d’un tout nouveau ransomware comportant de nombreuses fonctionnalités de type Locky. "

Le CaaS (« Crime as a Service »), à l’image du SaaS (« Software as a Service »), vient d'être révélé.


Attention - innombrables tromperies sur le Web à propos de Zepto

Lorsque vous cherchez Zepto sur le Web, vous trouvez des milliers de propositions, commerciales évidemment, pour acheter, très cher, un truc douteux et inconnu qui prétend supprimer Zepto, sans jamais dire que :

  1. cela ne sert strictement à rien : vos fichiers cryptés restent cryptés
  2. le crypto-ransomware s'est souvent déjà auto-détruit après son ravage

Attention

  1. Si vous disposez de sauvegardes, NE LES BRANCHEZ PAS tant que le « crypto-ransomware Zepto » est présent sinon il va se précipiter dessus et les crypter à leur tour.
  2. Ne comptez pas sur les copies de sécurité faites par Windows (les « versions précédentes »), si vous les avez paramétrées, car les crypto-ransomwares les détruisent.
  3. Certains fichiers d'informations du « crypto-ransomware Zepto » ne doivent pas être détruits, car ils contiennent des données qui sont absolument nécessaires pour décrypter les fichiers
  4. Certains cybercriminels craignent que leur code ne soit échantillonné rapidement et :
    1. analysé par les anti-malwares qui vont se mettre à détecter la malveillance et la bloquer en temps réel alors que le cybercriminel compte poursuivre son déploiement
    2. analysé par des chercheurs en sécurité qui pourraient, avec une ingénierie inverse (Reverse engineering), trouver un moyen de décrypter (gratuitement) les fichiers des victimes.
    Ils font tout pour retarder de quelques heures à quelques jours l'analyse de leur code. La solution, lorsqu'elle est choisie, est simple : le « crypto-ransomware » s'auto-détruit afin de ne laisser aucune trace (sauf les clés nécessaires au déchiffrement si la victime paye la rançon.)
  5. Pour décontaminer votre ordinateur, utilisez l'un ou l'autre de ces deux outils :
    1. Malwarebytes
    2. Emsisoft Anti-Malware

Hors de ces deux logiciels recommandés, attention à toutes les autres offres !

Protection en temps réel obligatoire (Malwarebytes Premium recommandé)

Il ne s'agit pas de décontaminer votre ordinateur après contamination avec un outil faisant une analyse en temps différé (à la demande (« On-demand »)), mais d'empêcher sa contamination, en amont, avec un outil fonctionnant en temps réel (« On-access » ou, mieux, « On-execution »).

Malwarebytes Premium (ou Endpoint) fait les 2 :

  1. pratique le mode « On-execution » (fonctionnement en temps réel en parfaite entente quel que soient les autres outils de sécurité installés)
  2. peut être utilisé à tout moment en mode à la demande (« On-demand ») pour lancer des analyses périodiques

Malwarebytes - Paramétrage - Protection en temps réel de la navigation sur le Web
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») de la navigation sur le Web, dont grâce à hphosts

Malwarebytes - Paramétrage - Protection en temps réel contre les exploits
Malwarebytes - - Paramétrage - Protection en temps réel (« Real time ») contre les exploits

Malwarebytes - Paramétrage - Protection en temps réel contre les malveillances (malwares)
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les malveillances (malwares)

Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les ransomwares et crypto-ransomwares
Malwarebytes - Paramétrage - Protection en temps réel (« Real time ») contre les ransomwares et crypto-ransomwares

Zepto - Zepto