Cíl ransomwaru je stále stejný: získat od nechráněných uživatelů výkupné. Na druhou stranu se škodlivý software tohoto typu vyvíjí a objevují se jeho nové varianty i obměny. Na závažnost jedné z posledních novinek upozornila globální síť pro zkoumání hrozeb SophosLabs. Po již známé hrozbě masivně rozšířenému ransomwaru Locky, se nyní objevil jeho následník: Zepto.

Nový ransomware Zepto se na Lockyho odkazuje nejen mechanismem útoku, ale i stránkou s informacemi o zaplacení výkupného – ta po zaplacení nabízí Locky Decryptor. Mohlo by se tak na první pohled zdát, že jde o zcela totožnou hrozbu, ale tak jednoduché to není, i když je shoda v programovém kódu obou hrozeb poměrně vysoká. Kromě drobností, jako je jiná přípona zašifrovaných souborů (.zepto místo .locky), se důležitá změna týká mechanismu šíření. Zepto sice i nadále využívá zejména wordové dokumenty s makry, jde na to však o něco chytřeji.

Microsoft Word vyžaduje při otevření nakaženého souboru povolení zpracování maker a pro aktivaci ransomwaru je tedy nutný aktivní krok uživatele. Ale zatímco v případě Lockyho se při otevření takového dokumentu zobrazí „rozsypaný čaj“ s čitelnou výzvou k povolení maker, Zepto zobrazí prázdný dokument a uživatel tak může snadněji podlehnout pokušení umožnit zpracování VBA skriptu v naději, že se mu podaří následně dokument normálně otevřít. Podíl na větším rozšíření hrozby tento fakt mít bude zejména u uživatelů, kteří si všímají právě jen podezřelých textů a výzev. V případě „úspěchu“ je již další postup typický – následuje stažení a spuštění vlastního kódu ransomwaru a aktivace hrozby.

Wordový dokument ale není jedinou cestou jak propašovat Zepto do cílového počítače. Dalším způsobem je např. využití JavaScriptu, který je umístěný do souboru zabaleného v ZIP archivu. Problémem je, že systém Windows obvykle nezobrazuje příponu. JS pro javascriptové soubory přiřadí ikonu, která se může jevit jakoby patřila nějakému textovému souboru. Uživatel se jej pokusí otevřít pro přečtení a past sklapne.

Výpalné je v případě Zepta 1/2 bitcoinu, tedy asi 8000 Kč. To sice není ve srovnání s mnoha dalšími škůdci z kategorie vyděračských programů ransomware závratná suma, ale i tak je vedle zálohování a aktivní ochrany rozumným doporučením kybernetickým zločincům nic neplatit. Jednak uživatelé nemají jistotu, že se po zaplacení ke svým datům skutečně dostanou, jednak tím finančně podporují činnost kriminálníků a v podstatě je motivují k dalším aktivitám.