Το τελευταίο διάστημα, κυκλοφορεί ένα ψεύτικο εργαλείο αποκρυπτογράφησης για το STOP Djvu Ransomware, που προσελκύει απελπισμένα θύματα, υποσχόμενο να “ελευθερώσει” τα κρυπτογραφημένα δεδομένα τους. Ωστόσο, αυτό δεν συμβαίνει. Αντίθετα, το υποτιθέμενο ransomware decryptor μολύνει τα συστήματα με ένα άλλο ransomware (Zorab) που κάνει την κατάσταση ακόμα χειρότερη.
Τα ransomware που είναι περισσότερο γνωστά είναι τα Maze, REvil, Netwalker και DoppelPaymer. Ωστόσο, το STOP Djvu ransomware μολύνει περισσότερους ανθρώπους σε καθημερινή βάση.
Με πάνω από 600 επιθέσεις την ημέρα, το STOP Djvu είναι το ransomware που διανέμεται πιο πολύ κατά τον τελευταίο χρόνο.
Η Emsisoft και ο Michael Gillespie είχαν κυκλοφορήσει ένα ransomware decryptor για παλαιότερες εκδόσεις του STOP Djvu, αλλά οι νεότερες δεν μπορούν να αποκρυπτογραφηθούν δωρεάν με αυτό το εργαλείο.
Νέο banking malware κλέβει credentials από 77 apps
Έφηβος χακάρει εταιρείες τηλεπικοινωνιών
DroidBot: Νέο Android banking malware κλέβει credentials
Γιατί, όμως, ένα τόσο συνηθισμένο ransomware, που πραγματοποιεί συνεχώς επιθέσεις, δεν έχει τραβήξει την προσοχή όσο άλλα;
Η έλλειψη προσοχής οφείλεται κυρίως στο ότι το ransomware επηρεάζει οικιακούς χρήστες που έχουν μολυνθεί μέσω adware που εμφανίζονται ως software cracks.
Η διπλή κρυπτογράφηση των δεδομένων με ένα δεύτερο ransomware είναι “χτύπημα κάτω από τη μέση”.
Το Zorab κρυπτογραφεί διπλά τα δεδομένα ενός θύματος
Δυστυχώς, αυτή την τακτική ακολουθεί ένα νέο ransomware που ονομάζεται Zorab και ανακαλύφθηκε από τον Michael Gillespie.
Οι δημιουργοί του Zorab ransomware έχουν κυκλοφορήσει ένα ψεύτικο εργαλείο αποκρυπτογράφησης για το STOP Djvu, που δεν επαναφέρει κανένα αρχείο δωρεάν. Αντίθετα, κρυπτογραφεί ξανά όλα τα κρυπτογραφημένα δεδομένα του θύματος με το Zorab ransomware.
Όταν ο χρήστης εισαγάγει τις πληροφορίες του στο ψεύτικο εργαλείο και κάνει κλικ στο “Έναρξη σάρωσης”, το πρόγραμμα θα εξαγάγει ένα άλλο εκτελέσιμο που ονομάζεται crab.exe και θα το αποθηκεύσει στο φάκελο %Temp%.
Το Crab.exe είναι το Zorab ransomware, το οποίο αρχίζει να κρυπτογραφεί τα δεδομένα στον υπολογιστή. Κατά την κρυπτογράφηση αρχείων, το ransomware θα προσαρτήσει την επέκταση .ZRB στο όνομα του αρχείου.
Το ransomware δημιουργεί, επίσης, ένα σημείωμα για λύτρα με το όνομα “–DECRYPT – ZORAB.txt.ZRB”. Αυτό το σημείωμα περιέχει οδηγίες σχετικά με την πληρωμή και τον τρόπο επικοινωνίας με τους χειριστές του ransomware.
Το Zorab ransomware βρίσκεται υπό ανάλυση. Οι χρήστες δεν θα πρέπει να πληρώσουν τα λύτρα. Ωστόσο, αν πρέπει οπωσδήποτε να το κάνουν θα πρέπει να περιμένουν μέχρι να επιβεβαιωθεί ότι δεν υπάρχει δωρεάν τρόπος αποκρυπτογράφησης και ανάκτησης των δεδομένων.