Zepto opet i ponovo

Oct 11, 2016 // By:bobo // No Comment

ransomware-2Izgleda da Zepto još samo iz paštete ne iskače a kada će nezna se.

Dakle ima ga svuda i vrlo je dosadan. I ako do sada niste naučili da vam je najvrjednija sprava koju imate u kući u stvari eksterni hard disk USB stick ili stari dobri DVD sa snimljenim podacima dokumentima i slično, onda razmislite još jednom. Zepto kao i druge ransomware napasti traži novce a prepoznatljiv je po više karakterističnih ekstenzija i da Za njega još uvjek nema besplatne dekripcije. 

Lako će te ga prepoznati po extenzijama .zepto i .odin  no ono što će napraviti još veći problem je činjenica da mijenja imena fajlova. Kao i većina drugih ransomware napasti i ova će zaklučava klasičnu listu datoteka kao što su doc. docx xmlx ili slike jpg png i slično.

Za sada nije primjećeno da oštećuje PST dokumente pa je iz Outlook a moguće povratiti dokumente koji su kriptovani sa nekom varijantom Zepto.

Do sada je primjećeno oko 10 varijacija koje su sve bazirane na prvobitnoj varijanti Locky a koji još uvjek nije otključan odnosno za njega se oš nije pojavio dekripcijski alat. Načini infekcije su različiti. Najčešći način zaraze je putem word ili excel dokumenta koji je nažalost potpuno validan i ima ekstenziju docm odnosno word dokument sa dodatnim macroom ( skripta koja omogućava brzo tipkanje ili neke automatizirane funkcije u dokumentu) . Sam dokument nije maliciozan no maliciozna u njemu je baš aktivna skripta koja pokrene preuzimanje ostatka malicioznog koda na zaraženi računar. Zbog toga je veoma dobra ideja isključiti mogućnost pokretanja macro skripti u svim office alatima jer se na taj način onemogućava pokretanje ove prijetnje. Kada jednom napadne računar poput drugih ransom prijetnji zaključava veoma jakom dvostrukom enkripcijom vaše dokukumente koji su mu dostupni na tom account u a onda sve vidljive diskove na mreži po kojima može pisati. Važna napomena je da su prije diskovi morali biti mapirani na lokalnom računaru međutim zadnjih par verzija Zepto ransomware a uopšte nemoraju imati mapirane diskove već kriptuju pišu i brišu sve fajlove koje mogu vidjeti na mreži.

Dobra riješenja odbrane su redovni backup na vanjski odkopčavajući medij ( eksterni hard disk, Mrežni disk koji se može ugasiti nakon backup a ili snimanje na neki klasični medij kao što je DVD rom). Sa druge strane krajnje je preporućljivo da iako ste vi jedini korisnik računara sami sebi zatvorite pristup za instalaciju i pokretanje bilo kakvih exe datoteka. Ovo možete jednostavno uraditi na taj način što će te kada otvorite usere u Control Panelu postojećem korisniku dodjeliti ulogu user umjesto administrator.  Poželjno je i tom istom useru kao i administratoru dodjeliti malo ozbiljnije lozinke.

I to je to u stvari to je uglavnom sve što trenutno možete učiniti.

 

Ima li lijepih vijesti?

Bude nađe se po koja. Za sada više kompanija je posvetilo malo pažnje ovim prijetnjama jer već odavno ne stoji izgovor mi smo vas upozorili a vi ste ipak kliknuli na dokument.

Za sada tvrtke koje su prve napravile neke ozbiljnije alate za kontrolu i zaštitu od rasnomware prijetnji su Malwarebytes , Eset,  Sophos, Kaspersky. Ono što je posebno interesantno su tržišna kretanja između kompanija koje se bave zaštitom i sigurnosnim softwerom tako da je nedavno kompanija Sophos kupila jednog od pionira u ovoj vrsti zaštite malu tvrtku SurfRight  koja stoji iza jednog od trenutno naj pouzdanijih alata za zaštitu od ransomware prijetnji “Hitman Pro“.

Sa druge strane izgleda da je skoro svaka iole ozbiljnija softwerska kompanija otvorila komercijalni odjel koji bi trebao da se pozbavi prodajom aplikacija za ovu vrstu zaštite, međtim veoma često ta zaštita je samo deklarativna a način detekcije je potpuno isti kao što to radi i klasični antivirusni softwer putem skeniranja digitalnog potpisa svake datoteke i njenim upoređivanjem u bazi poznatih detekcija.

Ono što obećava je činjenica da se pristupa nekim novim konceptima monitoringa fajlova koji bi mogli biti maliciozni. Ti koncepti su na primjer pokretanje aplikacije u zatvorenom okruženju ( virtual Sandbox) te praćenje njenih karakteristika i aktivnosti. Ako se aplikacija obraća velikom broju dokumenata automatski postaje označena kao maliciozna a u mrežu se odmah šalje rezultat detekcije ove aplikacije na centralne update servere.

Drugi daleko jednostavniji ali ne i lošiji pristup je monitoring promjene sadržaja datoteka. Istina za nas kompijuter nije u mogućnosti prepoznati fajlove sa enkripcijom jer je to za njega i dalje validan fajl no u koliko se poslože određeni paterni na fajlovima ransoware opasnost je detektovana.

Postoje i pokušaju da se putem mrežne filtracije onemogući preuzimanje malicioznog softwera međutim cijelokupan taj koncept zavisi od razine propagacije informacije o viralnom izvoru.

No ni ucjenjivači za ovo vrijeme nisu sjedeli skrštenih ruku.

Nove ransom prijetnje  više ne dolaze isključivo kao zip arhiva koju morate raspakovati već sada dolaze kao potpuno validan i ispravan word dokument koji čak šta više ima i svoj sadržaj koji izgleda poput nekog računa ili dopisa. Maliciozni dio ovog dokumenta uopšte nije vidljiv i nalazi se u macro naredbama koje pokreću preuzimanje ostatka viralnog materijala te se na korisničkom računaru iz više dijelova sklapa maliciozna aplikacija koja zaključava fajlove.

Trenutno je veoma teško i pratiti izvore informacija o ransomware prijetnjama. Kao prvo zato što ih ima tako puno (samo u mjesecu julu se pojavilo preko 18 novih varijanti)  a sa druge strane tu je problem sa veoma lošim izvorima informacija pa je postalo veoma teško putem pretraživača naći relevantne linkove koji se bave ovom tematikom a da zaobiđete glupe clickbyte stranice koje su po 250 put prepisale nešto i u isto vrijeme dodale svojih barem 50 grešaka.

Kao dobar izvor informacija je svakako portal “www.bleepingcomputer.com” koji je uveo neku vrstu nedeljnog biltena prijetnji uglavnom orijentisanih na ransomware. Portal je naravno zanimljiv i zbog drugih IT sadržaja, no predug boravak na ovom mjestu i čitanje o računarskoj i svakoj drugoj sigurnosti vas lako mogu pretvoriti u paranoika.

Drugi dobar izvor informacija je naravno ReddIt.com Većina postova je orijentisana na slatke kuce i maće no reddit je dobar izvor informacija po pitanju ransomware a jer se par ljudi isključivo sa tim i bavi te su stekli popriličnu reputaciju zbog kvalitete tekstova i analiza.

 

Kako do decriptora?

Za ZEPTO još uvjek nema dekripcijskog alata, no zato ih ima za neke druge ransomware prijetnje.

Ima više izvora decripcijskih alata. Trenutno ih je više objavio Kaspersky lab kao i emsisoft.com. Većinu kvalitetnih i upotrebljivih decriptora (da ima i onih koji ništa ne rade) je moguće potražiti na ranije pomenutom www.bleepingcomputer.com

Još uvjek se za osnovne mjere povratka podataka preporučuju kopanje po Shadow backup kopiji iako je većina ransomware napasti gasi na nivou servisa, kao i pokušaj da se forenzičkim data recovery alatima izvuku obrisani dokumenti koji su kriptovani. I ovo je veoma često uzaludan pokušaj jer se kriptovani podaci obično prepisuju preko tačno istog mjesta na disku na kojem su postojali ranije originalni podaci.

 

About bobo

Browse Archived Articles by bobo