勒索软件局中局 | 利用伪造的勒索软件解密器再次对用户进行加密
2020-06-14 10:40:00 Author: www.4hou.com(查看原文) 阅读量:223 收藏

01.jpg

Stop勒索软件主要通过网上一些密码生成器及破解程序进行传播的,这些工具通常是用来让人们免费使用付费的软件,而最大的受害群体无疑是那些学生或青少年,或是与他们共用电脑的亲友们。Stop除了会加密系统上的文件之外,有时还会嵌入其它恶意软件,像是专门盗取密码的木马程序。Stop家族的勒索软件会将系统内文件进行加密,并把它们的文件后缀变更为.djvu、.rumba、.radman或.gero等,然后向受害者索取980美元的费用来换得解密密钥,如果72小时内与黑客联系则会有5折优惠。作为近段时间来颇为常见的勒索软件,市面上预计有160种Stop勒索变种,而正规的解密工具,大概只能解锁其中148种。至于这不能破解的几种变体,就有攻击者开始在这上面动歪心思了。

随着免费勒索软件解密工具开始进入市场,声称可以解密受勒索软件影响文件的软件开始激增。这不最近,Zorab勒索软件的创建者发布了一个伪造的STOP Djvu解密程序。然而,这个软件并没有恢复受害者的数据,而是用其中包含的勒索软件进一步加密了他们的文件。当受害者打开其中一个工具时,该软件就会提取一个名为crab.exe的可执行文件。这就是Zorab勒索软件。一旦执行,该工具将加密扩展名为. zrb的所有文件。

被这个伪造的STOP Djvu勒索软件感染后,情况会更糟。根据目前的监测,STOP Djvu的传播趋势非常快。

Maze, REvil, Netwalker和DoppelPaymer等勒索软件想必大家都很熟悉了,这是因为它们经常攻击那些比较有价值的用户,且被媒体广泛报道。但事实是,STOP Djvu勒索软件每天感染的人比所有这些软件感染的人加在一起还要多,只不过因为它的攻击目标比较分散,造成的损失比较小,所以关注度不高。

STOP勒索软件每天有600多个ID勒索软件识别服务提交,STOP勒索软件是过去一年中分布最活跃的勒索软件。

1.jpg

STOPDjvu勒索软件提交的ID勒索软件

Emsisoft和Michael Gillespie之前已经发布了一个针对旧版本STOP Djvu的解密器,但是新的版本需要交费才能解密。

既然该勒索软件如此普遍,你可能会想为什么它没有得到太多关注?

缺乏关注仅是因为勒索软件主要影响通过伪造为软件漏洞的广告软件捆绑软件感染的家庭用户。虽然下载和安装破解程序是不对的,但许多被感染的人根本无法支付500美元的赎金来购买解密器。而用另一个勒索软件对一些人的数据进行双重加密,只会在用户已经崩溃的时候再踩上一脚。

Zorab对受害者的数据进行双重加密

不幸的是,Michael GillespieMichael Gillespie发现了一个名为Zorab的勒索软件。

Zorab勒索软件的开发者发布了一个伪造的STOP Djvu解密软件,该软件不会免费恢复任何文件,而是用另一个勒索软件加密受害者已经加密的所有数据。

2.jpg

伪造的STOP Djvu解密器

当一个绝望的用户在伪造的解密器中输入他们的信息并点击“开始扫描”,程序将提取另一个名为crb .exe的可执行文件并保存到%Temp%文件夹中。

3.jpg

提取和执行crab.exe程序

Crab.exe是另一个名为Zorab的勒索软件,它将开始对计算机上的数据进行加密。加密文件时,勒索软件会将. zrb扩展名附加到文件名称中。

4.jpg

Zorab加密文件

勒索软件还将在每个文件加密文件夹中创建名为“ --DECRYPT--ZORAB.txt.ZRB”的勒索笔记。本说明包含有关如何联系勒索软件运营商以获取付款说明的解释。

5.jpg

Zorab赎金说明

本文翻译自:https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-desperate-victims-files/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/g6xD
如有侵权请联系:admin#unsafe.sh