Поддельный декриптор повторно шифрует файлы жертв

Поддельный декриптор повторно шифрует файлы жертв

Alexander Antipov

Злоумышленники распространяют вымогательское ПО Zorab под видом декриптора для файлов, зашифрованных STOP Djvu.

image

Киберпреступники распространяют поддельный инструмент для восстановления файлов, зашифрованных вымогательским ПО STOP Djvu. Бесплатный декриптор якобы расшифровывает файлы, но на самом деле шифрует их повторно, еще более усугубляя ситуацию.

В то время как программы-вымогатели наподобие Maze, REvil, Netwalker и DoppelPaymer широко освещаются в СМИ, поскольку их жертвами становятся крупные компании, STOP Djvu остается без внимания, хотя и атакует гораздо большее число пользователей, чем все они вместе взятые. Более того, вредонос является наиболее активно распространяемым вымогательским ПО за последний год.

Компания Emsisoft и специалист в области безопасности Майкл Гиллеспи (Michael Gillespie) в прошлом выпускали инструменты для восстановления файлов, зашифрованных с помощью более старых версий STOP Djvu, однако бесплатно расшифровать файлы, зашифрованные новой версий, в настоящее время нельзя.

Разработчиком поддельного декриптора является автор вымогательского ПО Zorab. Когда жертва STOP Djvu вводит свои данные в интерфейс поддельного декриптора и нажимает на «Start Scan», программа извлекает исполняемый файл crab.exe и сохраняет в папку %Temp%.

Файл crab.exe представляет собой вымогательское ПО Zorab, шифрующее файлы и добавляющее к ним расширение .ZRB. В каждой папке с зашифрованными файлами появляется записка с требованием выкупа, где указан способ связи с вымогателями для получения от них дальнейших инструкций.

В настоящее время специалисты анализируют вымогательское ПО Zorab в поисках уязвимостей, позволяющих взломать его шифрование и создать декриптор.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab