08.06.2020 | Поддельный декриптор повторно шифрует файлы жертв |
Киберпреступники распространяют поддельный инструмент для восстановления файлов, зашифрованных вымогательским ПО STOP Djvu. Бесплатный декриптор якобы расшифровывает файлы, но на самом деле шифрует их повторно, еще более усугубляя ситуацию. В то время как программы-вымогатели наподобие Maze, REvil, Netwalker и DoppelPaymer широко освещаются в СМИ, поскольку их жертвами становятся крупные компании, STOP Djvu остается без внимания, хотя и атакует гораздо большее число пользователей, чем все они вместе взятые. Более того, вредонос является наиболее активно распространяемым вымогательским ПО за последний год. Компания Emsisoft и специалист в области безопасности Майкл Гиллеспи (Michael Gillespie) в прошлом выпускали инструменты для восстановления файлов, зашифрованных с помощью более старых версий STOP Djvu, однако бесплатно расшифровать файлы, зашифрованные новой версий, в настоящее время нельзя. Разработчиком поддельного декриптора является автор вымогательского ПО Zorab. Когда жертва STOP Djvu вводит свои данные в интерфейс поддельного декриптора и нажимает на «Start Scan», программа извлекает исполняемый файл crab.exe и сохраняет в папку %Temp%. Файл crab.exe представляет собой вымогательское ПО Zorab, шифрующее файлы и добавляющее к ним расширение .ZRB. В каждой папке с зашифрованными файлами появляется записка с требованием выкупа, где указан способ связи с вымогателями для получения от них дальнейших инструкций. В настоящее время специалисты анализируют вымогательское ПО Zorab в поисках уязвимостей, позволяющих взломать его шифрование и создать декриптор. |
Проверить безопасность сайта