伪造的勒索软件解密器对绝望的受害者文件进行双重加密

惊喜

散布了STOP Djvu Ransomware的伪造解密器,诱使已经绝望的人们有了免费解密的希望。他们没有免费取回文件,而是感染了另一种勒索软件,使情况变得更糟。

虽然诸如Maze,REvil,Netwalker和DoppelPaymer这样的勒索软件操作因其身价高昂的受害者而受到了媒体的广泛关注,但另一种名为STOP Djvu的勒索软件  正在感染更多的人,然后将它们全部合并。

 STOP勒索软件每天有600多个ID勒索软件识别服务提交  ,STOP勒索软件是过去一年中分布最活跃的勒索软件。

停止将Djvu勒索软件提交到ID-勒索软件
停止将Djvu勒索软件提交到ID-勒索软件

Emsisoft和Michael Gillespie 之前已发布了用于较旧的STOP Djvu变体的解密器,但不能免费解密较新的变体。

如果勒索软件如此普遍,您可能想知道为什么它没有引起太多关注?

缺乏关注仅是因为勒索软件主要影响通过假装为软件漏洞的广告软件捆绑软件感染的家庭用户。

虽然下载和安装破解程序是不可原谅的,但许多受感染的人根本负担不起为解密器支付500美元的赎金。

使用第二个勒索软件对某人的数据进行双重加密只是在某人已经崩溃时对其进行踢打。

Zorab双重加密受害者的数据

不幸的是,这就是迈克尔·吉莱斯皮发现的一种名为Zorab的新勒索软件  。

Zorab勒索软件的创建者发布了一个伪造的STOP Djvu解密器,该解密器不会免费恢复任何文件,而是使用另一勒索软件对受害者已经加密的所有数据进行加密。

假STOP Djvu解密器
假STOP Djvu解密器

当一个绝望的用户在假解密器中输入他们的信息并单击“开始扫描”时,该程序将提取另一个名为crab.exe的可执行文件,并将其保存到%Temp%文件夹中。

提取并执行crab.exe程序
提取并执行crab.exe程序

Crab.exe是另一个名为Zorab的勒索软件,它将开始对计算机上的数据进行加密。加密文件时,勒索软件会将.ZRB扩展名附加到文件名之后。

Zorab加密文件
Zorab加密文件

勒索软件还将在每个文件加密文件夹中创建名为“ –DECRYPT–ZORAB.txt.ZRB”的勒索笔记。本说明包含有关如何联系勒索软件运营商以获取付款说明的说明。 

Zorab赎金记录
Zorab赎金记录

该勒索软件目前正在分析中,在确认没有弱点可免费恢复Zorab加密文件之前,用户不应支付勒索费用。

 

*编译:Domino

*来自:bleepingcomputer