散布了STOP Djvu Ransomware的伪造解密器,诱使已经绝望的人们有了免费解密的希望。他们没有免费取回文件,而是感染了另一种勒索软件,使情况变得更糟。
虽然诸如Maze,REvil,Netwalker和DoppelPaymer这样的勒索软件操作因其身价高昂的受害者而受到了媒体的广泛关注,但另一种名为STOP Djvu的勒索软件 正在感染更多的人,然后将它们全部合并。
STOP勒索软件每天有600多个ID勒索软件识别服务提交 ,STOP勒索软件是过去一年中分布最活跃的勒索软件。
Emsisoft和Michael Gillespie 之前已发布了用于较旧的STOP Djvu变体的解密器,但不能免费解密较新的变体。
如果勒索软件如此普遍,您可能想知道为什么它没有引起太多关注?
缺乏关注仅是因为勒索软件主要影响通过假装为软件漏洞的广告软件捆绑软件感染的家庭用户。
虽然下载和安装破解程序是不可原谅的,但许多受感染的人根本负担不起为解密器支付500美元的赎金。
使用第二个勒索软件对某人的数据进行双重加密只是在某人已经崩溃时对其进行踢打。
Zorab双重加密受害者的数据
不幸的是,这就是迈克尔·吉莱斯皮发现的一种名为Zorab的新勒索软件 。
Zorab勒索软件的创建者发布了一个伪造的STOP Djvu解密器,该解密器不会免费恢复任何文件,而是使用另一勒索软件对受害者已经加密的所有数据进行加密。
当一个绝望的用户在假解密器中输入他们的信息并单击“开始扫描”时,该程序将提取另一个名为crab.exe的可执行文件,并将其保存到%Temp%文件夹中。
Crab.exe是另一个名为Zorab的勒索软件,它将开始对计算机上的数据进行加密。加密文件时,勒索软件会将.ZRB扩展名附加到文件名之后。
勒索软件还将在每个文件加密文件夹中创建名为“ –DECRYPT–ZORAB.txt.ZRB”的勒索笔记。本说明包含有关如何联系勒索软件运营商以获取付款说明的说明。
该勒索软件目前正在分析中,在确认没有弱点可免费恢复Zorab加密文件之前,用户不应支付勒索费用。
*编译:Domino
*来自:bleepingcomputer