Il falso decryptor crittografa due volte i file delle vittime disperate
6 Giugno 2020 - Tempo di lettura: 15 minuti
Viene distribuito come un decriptatore per STOP Djvu Ransomware, attira persone già disperate con la promessa di una decodifica gratuita. Invece di recuperare i loro file gratuitamente, vengono infettati da un altro ransomware che peggiora ulteriormente la loro situazione.
Mentre le operazioni di ransomware come Maze, REvil, Netwalker e DoppelPaymer ricevono ampia attenzione da parte dei media a causa delle loro vittime di grande valore, un altro ransomware chiamato STOP Djvu sta infettando più persone di tutte le altre tipologie insieme su base giornaliera.
Con oltre 600 invii al giorno al servizio di identificazione ransomware ID-Ransomware, STOP ransomware è il ransomware più diffuso nell'ultimo anno.
Emsisoft e Michael Gillespie avevano precedentemente rilasciato un decriptatore per le vecchie varianti di STOP Djvu, ma le nuove varianti non possono essere decifrate gratuitamente.
Se il ransomware è così comune, ti starai chiedendo perché non ottiene molta attenzione?
La mancanza di attenzione è semplicemente dovuta al fatto che il ransomware colpisce principalmente gli utenti domestici infettati da bundle di adware che fingono di essere software.
Mentre il download e l'installazione di malware non è scusabile, molti di coloro che sono infetti semplicemente non possono permettersi di pagare un riscatto di $ 500 per un decriptatore.
La doppia crittografia dei dati di qualcuno con un secondo ransomware sta semplicemente dando dei calci a qualcuno mentre è già disperato.
Zorab crittografa due volte i dati di una vittima
Sfortunatamente, è quello che sta facendo un nuovo ransomware chiamato Zorab scoperto da Michael Gillespie.
I creatori del ransomware Zorab hanno rilasciato un falso decriptatore STOP Djvu che non recupera alcun file gratuitamente ma invece crittografa tutti i dati già crittografati della vittima con un altro ransomware.
Quando un utente disperato inserisce le proprie informazioni nel decifratore falso e fa clic su "Avvia scansione", il programma estrae un altro eseguibile chiamato crab.exe e lo salva nella cartella % Temp%.
Crab.exe è un altro ransomware chiamato Zorab, che inizierà a crittografare i dati sul computer. Durante la crittografia dei file, il ransomware aggiungerà l'estensione .ZRB al nome del file.
.jpg)
Il ransomware creerà anche le note di riscatto denominate '--DECRYPT - ZORAB.txt.ZRB' in ogni cartella in cui un file è crittografato. Questa nota contiene istruzioni su come contattare gli operatori di ransomware per le istruzioni di pagamento.
Questo ransomware è attualmente in fase di analisi e gli utenti non devono pagare il riscatto fino a quando non viene confermato che non è possibile utilizzare alcun punto debole per recuperare gratuitamente i file crittografati con Zorab.
Dettagli di compromissione
hash:
Fake decryptor: 1abf41be04801cfc3478502127abc47c2d84253ab659d576e5c02cc0b716c782
File associati:
Decryptor Djvu mlagham.exe
%Temp%crab.exe
--DECRYPT--ZORAB.txt.ZRBTesto della nota di riscatto:
—+-= ZORAB =-+—
Attention! Attention! Attention!
Your documents, photos, databases and other important files are encrypted and have the extension: .ZRB
Don't worry, you can return all your files!
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
if you want to decrypt your files
The only method of recovering files is to purchase decrypt tool
This tool will decrypt all your encrypted files.
To get this software you need write on our e-mail: zorab28@protonmail.com
What guarantees do we give to you?
Its just a business. We absolutely do not care about you and your deals, except getting benefits.
You can send 2 your encrypted file from your PC and we decrypt it for free.
+--Warning--+
DONT try to change files by yourself, DONT use any third party software for restoring your data
Your personal id: xxx
Email associate:
zorab28@protonmail.com