Зловмисники поширюють ПЗ Zorab під виглядом дешифратора для файлів, зашифрованих STOP Djvu

  • Дата 10/06/2020

Кіберзлочинці поширюють підроблений інструмент для відновлення файлів, зашифрованих здирницьким ПЗ STOP Djvu. Безкоштовний дешифратор нібито розшифровує файли, але насправді шифрує їх повторно, ще більше погіршуючи ситуацію.

У той час як програми-вимагачі на зразок Maze, REvil, Netwalker і DoppelPaymer широко висвітлюються в ЗМІ, оскільки їх жертвами стають великі компанії, STOP Djvu залишається без уваги, хоча і атакує набагато більше число користувачів, ніж всі вони разом узяті. Більш того, цей шкідник є найбільш активно поширюваним здирницьким ПЗ за останній рік.

Компанія Emsisoft та фахівець в області безпеки Майкл Гіллеспі (Michael Gillespie) в минулому випускали інструменти для відновлення файлів, зашифрованих за допомогою більш старих версій STOP Djvu, проте безкоштовно розшифрувати файли, зашифровані новою версією, наразі не можна.

Розробником підробленого дешифратора є автор здирницького ПЗ Zorab. Коли жертва STOP Djvu вводить свої дані в інтерфейс підробленого дешифртора і натискає на «Start Scan», програма витягує виконуваний файл crab.exe і зберігає в папку % Temp%.

Файл crab.exe представляє собою здирницьке ПЗ Zorab, що шифрує файли і додає до них розширення .ZRB. В одній папці з зашифрованими файлами з'являється записка з вимогою викупу, де зазначений спосіб зв'язку з вимагачами для отримання від них подальших інструкцій щодо оплати.

Наразі фахівці аналізують ПЗ Zorab в пошуках вразливостей, що дозволяють зламати його шифрування та створити дешифратор.

Read 71 times

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Карбишева 2, оф. 238

  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

  • 0733 406 100

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top