08/06/20
Киберпреступники распространяют поддельный инструмент для восстановления файлов, зашифрованных вымогательским ПО STOP Djvu. Бесплатный декриптор якобы расшифровывает файлы, но на самом деле шифрует их повторно, еще более усугубляя ситуацию.
В то время как программы-вымогатели наподобие Maze, REvil, Netwalker и DoppelPaymer широко освещаются в СМИ, поскольку их жертвами становятся крупные компании, STOP Djvu остается без внимания, хотя и атакует гораздо большее число пользователей, чем все они вместе взятые. Более того, вредонос является наиболее активно распространяемым вымогательским ПО за последний год.
Компания Emsisoft и специалист в области безопасности Майкл Гиллеспи (Michael Gillespie) в прошлом выпускали инструменты для восстановления файлов, зашифрованных с помощью более старых версий STOP Djvu, однако бесплатно расшифровать файлы, зашифрованные новой версий, в настоящее время нельзя.
Разработчиком поддельного декриптора является автор вымогательского ПО Zorab. Когда жертва STOP Djvu вводит свои данные в интерфейс поддельного декриптора и нажимает на «Start Scan», программа извлекает исполняемый файл crab.exe и сохраняет в папку %Temp%.
Файл crab.exe представляет собой вымогательское ПО Zorab, шифрующее файлы и добавляющее к ним расширение .ZRB. В каждой папке с зашифрованными файлами появляется записка с требованием выкупа, где указан способ связи с вымогателями для получения от них дальнейших инструкций.
В настоящее время специалисты анализируют вымогательское ПО Zorab в поисках уязвимостей, позволяющих взломать его шифрование и создать декриптор.
