Saltar al contenido

Ransomware Zepto… ¿Nueva cara de Locky?

5 septiembre, 2016
Zepto

ZeptoRansomware Zepto: es una nueva sepa del megamaligno virus Locky, estos pertenecen a los temidos Ransomware, básicamente la función es cifrar tus datos.

Como todo Ransomware, Zepto pone el trabajo de recuperación de datos bien difícil, recientemente un conocido me informo de esta variante y de inmediato me puse a investigar de cómo está trabajando.

La evolución de Zepto con respecto a Locky, es terrible, se puede apreciar en ciertos casos como crea archivos con nombres parecidos a los que usa el sistema operativo Windows, en muchos casos se vio como modificaba el archivo hosts.

¿Archivo hosts?

Para que tengas una idea de que es el archivo hosts en Windows, este básicamente tiene la capacidad de sustituir las consultas DNS que tu equipo haría en caso de no conocer la dirección ip de un dominio dado, permitiendo al virus pasar ciertas medidas de seguridad en caso que las tengas activas. En resumidas cuentas, el archivo hosts no podría ser modificado si usas una cuenta sin privilegios, por eso la sugerencia de no usar cuentas con privilegios altos (Administrador) para el uso cotidiano en los hogares y menos en una empresa por pequeña que sea.

¿Que hace de  Zepto un peligro?

ZeptoZepto, que es una variante de Locky, mejor dicho una de las tantas, dado que su código se encuentra disponible, para que cualquier cibercriminal o aspirante, si tiene los conocimientos necesarios, pueda adquirirlo sin muchas complicaciones y  pueda crear su versión. De vez en cuando sale una, que en realidad nos da ciertos dolores de cabeza a los Administradores de Sistemas.

Según me pude informar, es el comportamiento de Zepto, esa es el arma que lo hace tan temible ante los administradores, dado que no ataca de inmediato, más bien se queda tranquilo analizando el comportamiento del usuario dentro del equipo afectado, modifica archivos del sistema, tales como csrss.exe o svchost.exe, entre otros.

Según mi experiencia, cuando un virus se hace pasar o modifica un archivo del sistema, es casi invisible para los antivirus, por lo generar se necesita de herramientas más robustas, que también analizan el comportamiento de cada equipo, cuando este sale de sus actividades regulares, se genera una alerta. Pero esos sistemas son costosos, tanto implementarlos como mantenerlos.

¿Cómo se propaga Zepto?

Como todo virus, digno de su nombre dañino y malévolo, se distribuye principalmente via correo electrónico, ya conoces el problema del spam que día a día se vive en las organizaciones, en especial esos correos que son de dominio público.

El correo spam se te disfrazara, con tanta habilidad que te podría parecer un mensaje genuino, pero cuidado, nada más lejos de la realidad. Tiene un archivo adjunto, no importa la extensión, pero los más habituales son los .doc, .pdf, .zip y .rar, entre otros. Si los ejecutas, dígase los abres, es cuando inicia el proceso.

En su momento, cuando tuve el percance con Crybola, este entro por un .pdf, se alojó en la carpeta del usuario que se almacena en un servidor de archivo central, se activó cuando se procesó el backup semanal de todos los datos alojados, que básicamente es una llamada a cada archivo para ser copiado, esto basto y se desato el desastre.

¿Cómo me protejo de Zepto?

A pesar de ser uno de los Ransomware más recientes, apenas tiene unas cuantas semanas, puedes ver el reporte de Kaspersky donde explican más al respecto.

Para evitar ser infectado por este temible y destructible ransonware, el vital el sentido común, ya se que siempre lo digo, pero es muy importante mantener los ojos abiertos cuando se reciben correos electrónicos algo extraños, especialmente de remitentes desconocidos. En la carpeta de spam no hay nada que buscar, a menos que estés esperando algún correo de alguien en concreto y creas que entro a spam. También recuerda tener cuidado con las paginas que visitas en la red, es importante que si administras la red de alguna empresa,

¿Cómo me deshago de Zepto?

ZeptoLa buena noticia, es que existen medidas para librarse del virus una vez se haya apoderado de tu equipo, pero no es mágica.

Para poder librarte de Zepto, es vital que tengas copias de seguridad del sistema completo, si no lo hiciste, la cosa se te va a complicar bastante, recuerda que pagar nunca será una opción.

Cuando uno de mis servidores se infecto con un Ransomware, llamado Crybola, acudimos a una empresa extranjera para la remoción de la infección y evitar más daños, ciertamente se controlo, pero como en todo proceso externo, no pudimos constatar que nos estuviera 100% saneado, así que realizamos la recuperación gradual, cuando logre examinar todos los archivos (no del sistema), realiza una instalación y moví todos los archivos de aplicaciones y usuarios, así pude estar seguro de que no habría un backdoor en algún lado de mi servidor.

Si no tienes un backup, imagen de sistema o tu disco clonado, tendrás que acudir a servicios profesionales de terceros o seguir estos pasos:

  • Abrir el task Manager pulsando simultáneamente las teclas CTRL + SHIFT + ESC
  • Ubicar el proceso del Ransomware. Se en cuenta que esto es generalmente al azar generado archivo.
  • Antes que matar el proceso, Escriba el nombre en un documento de texto para futuras referencias.
  • Desplácese a la carpeta %appdata%/roaming y borrar el archivo ejecutable. El temporal de virus crea una copia de sí mismo en la carpeta %appdata %
  • El archivo caído también cambia su hora de creación.
  • Este virus en particular puede utilizar varios archivos llamados: csrss.exe, svchost.exe, Notify.exe, admin.exe, resdial.exe, ntkernl.exe (sin embargo esto puede cambiar como cualquier nueva versión utilizará nombres de archivos diferentes)
  • A continuación, abra su Editor del registro de Windows y vaya a

«Software–Microsoft–Windows–CurrentVersion–Ejecutar»
«Software–Microsoft–Windows–CurrentVersion–RunOnce»
«Software–Microsoft–Windows–CurrentVersion–Políticas de–Explorador»–»Run»
«Software–Microsoft–Procesador de comandos»–»AutoRun»

Cuidadosamente revisa las entradas del registro y modificar los ajustes necesarios.

No todas son malas y desalentadoras noticias en el mundo de la seguridad informática, gracias a Kaspersky, tenemos unas cuantas herramientas para deshacernos de algunas variantes de los últimos ransonware que han aparecido, entre ellos el mencionado Crybola, espero que te sean de ayuda como a mí, aunque aun no veo alguna capas de remover a Zepto, asi que, esperemos lo puedas evitar endureciendo las políticas de tu organización u hogar.

Sígueme en:

[mks_social icon=»facebook» size=»38″ style=»square» url=»https://facebook.com/eliezermolinam» target=»_blank»]

[mks_social icon=»twitter» size=»38″ style=»square» url=»https://twitter.com/eliezermolinam» target=»_blank»]

[mks_social icon=»youtube» size=»38″ style=»square» url=»https://www.youtube.com/c/eliezermolinam» target=»_blank»]