ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Киберпреступники распространяют поддельный инструмент для восстановления файлов, зашифрованных вымогательским ПО STOP Djvu. Бесплатный декриптор якобы расшифровывает файлы, но на самом деле шифрует их повторно, еще более усугубляя ситуацию.

В то время как программы-вымогатели наподобие Maze, REvil, Netwalker и DoppelPaymer широко освещаются в СМИ, поскольку их жертвами становятся крупные компании, STOP Djvu остается без внимания, хотя и атакует гораздо большее число пользователей, чем все они вместе взятые. Более того, вредонос является наиболее активно распространяемым вымогательским ПО за последний год.

Компания Emsisoft и специалист в области безопасности Майкл Гиллеспи (Michael Gillespie) в прошлом выпускали инструменты для восстановления файлов, зашифрованных с помощью более старых версий STOP Djvu, однако бесплатно расшифровать файлы, зашифрованные новой версий, в настоящее время нельзя.

Разработчиком поддельного декриптора является автор вымогательского ПО Zorab. Когда жертва STOP Djvu вводит свои данные в интерфейс поддельного декриптора и нажимает на «Start Scan», программа извлекает исполняемый файл crab.exe и сохраняет в папку %Temp%.

Файл crab.exe представляет собой вымогательское ПО Zorab, шифрующее файлы и добавляющее к ним расширение .ZRB. В каждой папке с зашифрованными файлами появляется записка с требованием выкупа, где указан способ связи с вымогателями для получения от них дальнейших инструкций.

В настоящее время специалисты анализируют вымогательское ПО Zorab в поисках уязвимостей, позволяющих взломать его шифрование и создать декриптор.

https://www.securitylab.ru/news/508960.php