Cíl ransomwaru je stále stejný: získat od nechráněných uživatelů výkupné.
Na druhou stranu se škodlivý software tohoto typu vyvíjí a objevují se jeho nové varianty i obměny. Na závažnost jedné z posledních novinek upozornila globální síť pro zkoumání hrozeb SophosLabs, a to včetně evolučního vztahu k masivně rozšířenému ransomwaru Locky.
Nový ransomware Zepto se na Lockyho odkazuje nejen mechanismem útoku, ale také stránkou s informacemi o zaplacení výkupného – ta po zaplacení nabízí Locky Decryptor. Mohlo by se tak na první pohled zdát, že jde o zcela totožnou hrozbu, ale tak jednoduché to není, i když je shoda v programovém kódu obou hrozeb velmi vysoká. Kromě drobností, jako je jiná přípona zašifrovaných souborů (.zepto místo .locky), se důležitá změna týká mechanismu šíření. Zepto sice i nadále využívá zejména wordové dokumenty s makry, ale z pohledu běžného uživatele na to jde o něco chytřeji.
Microsoft Word vyžaduje při otevření nakaženého souboru povolení zpracování maker a pro aktivaci ransomwaru je tedy nutný aktivní krok uživatele. Ale zatímco v případě Lockyho se při otevření takového dokumentu zobrazí rozsypaný čaj s čitelnou výzvou k povolení maker, Zepto zobrazí prázdný dokument a uživatel tak může snadněji podlehnout pokušení umožnit zpracování VBA skriptu. V současné době sice nejsou k dispozici informace o tom, zda jde ze strany autorů ransomwaru o záměrný krok nebo o chybu, ale podíl na větším rozšíření hrozby tento fakt mít bude, a to zejména u uživatelů, kteří si všímají právě jen podezřelých textů a výzev. V případě „úspěchu“ je již další postup typický – následuje stažení a spuštění vlastního kódu ransomwaru a aktivace hrozby.
Wordový dokument ale není jedinou cestou jak propašovat Zepto do cílového počítače. Dalším způsobem je například využití JavaScriptu, který je umístěný do souboru zabaleného v ZIP archivu. Problémem je, že systém Windows obvykle nezobrazí příponu .JS a souboru přiřadí ikonu, která se může jevit jakoby patřila nějakému textovému souboru.
Výpalné je v případě Zepta 1/2 bitcoinu, tedy asi 8 tisíc Kč. Není to sice závratná suma, ale i tak je vedle zálohování a aktivní ochrany rozumným doporučením kybernetickým zločincům nic neplatit. Jednak uživatelé nemají jistotu, že se po zaplacení ke svým datům skutečně dostanou, jednak není úplně dobrým řešením finančně podporovat činnost kriminálníků.
