一个伪装成Djvu勒索软件解密器的工具—STOP Djvu,正在互联网上传播。实际上,STOP Djvu本身就是一个勒索软件,它通过伪装成Djvu解密器并声称免费解密,来诱导中招勒索软件的人在计算机上运行它。而运行它的后果就是,计算机上已被加密的文件被再次加密。这些受害者在运行STOP Djvu之后不但没有免费解密成功,反而被另一种勒索软件再次感染,雪上加霜。

当勒索软件操作如Maze, REvil, Netwalker和DoppelPaymer从受害者获取到巨额利益而得到广泛的媒体关注时,另一个名为STOP Djvu的勒索软件每天感染的人比上面提到的这些软件每天总感染人数还要多。

ID-Ransomware勒索软件识别网站上每天会收到超过600个STOP Djvu样本的提交,STOP勒索软件是过去一年中最活跃的分发勒索软件

Emsisoft和Michael Gillespie之前已经发布了一个针对旧版本STOP Djvu的解密器,但是它对STOP Djvu新版本无能为力。

如果STOP勒索软件如此普遍,你可能会好奇为什么它没有得到太多关注?主要原因是该勒索软件主要目标为家庭用户,其捆绑成广告软件来冒充盗版软件

虽然用户下载安装盗版软件的行为本身不对,但大多数被感染用户根本无力支付500美元的赎金来购买STOP Djvu解密器。

对于一个已经被勒索软件搞得崩溃的人来说,再用另一个勒索软件对他的数据进行二次加密,无疑是进一步打击。

 

Zorab对受害者的数据进行双重加密

Michael Gillespie发现了另一个名为Zorab的勒索软件,它与STOP Djvu结合使用。

STOP Djvu勒索软件正是Zorab的作者所编写的,STOP Djvu不会解密任何文件,而是使用另一个勒索软件Zorab来二次加密受害者已经被加密的所有数据

 

当一个希望STOP Djvu能够解密他们的文件的用户在如上图所示的假解密器中输入他们的信息并点击“开始扫描”后,程序将提取另一个名为crab.exe的可执行文件并保存到%Temp%文件夹中,如下图所示

 

Crab.exe是另一种名为Zorab的勒索软件,它会开始对电脑上的数据进行加密。加密文件时,勒索软件会将被加密后的文件的后缀修改为.ZRB

 

勒索软件还会在每个文件加密的文件夹中创建名为‘—DECRYPT—ZORAB.txt.ZRB’的勒索信。勒索信里包含了如何联系并向勒索软件作者支付赎金和解密文件。

 

安全人员正在分析这个勒索软件,建议直到发现确实没有办法可以用来恢复被Zorab加密的文件之前,建议受感染的用户不要支付赎金。

 

IOCs

hashes:

Fake decryptor:1abf41be04801cfc3478502127abc47c2d84253ab659d576e5c02cc0b716c782

相关文件:

Decryptor Djvu mlagham.exe
%Temp%crab.exe
--DECRYPT--ZORAB.txt.ZRB

勒索信原文:

—+-= ZORAB =-+—

Attention! Attention! Attention!

Your documents, photos, databases and other important files are encrypted and have the extension: .ZRB

Don't worry, you can return all your files!

The only method of recovering files is to purchase decrypt tool and unique key for you.

This software will decrypt all your encrypted files.

if you want to decrypt your files

The only method of recovering files is to purchase decrypt tool

This tool will decrypt all your encrypted files.

To get this software you need write on our e-mail: zorab28@protonmail.com

What guarantees do we give to you?

Its just a business. We absolutely do not care about you and your deals, except getting benefits.

You can send 2 your encrypted file from your PC and we decrypt it for free.

+--Warning--+

DONT try to change files by yourself, DONT use any third party software for restoring your data

Your personal id: xxx
 

勒索信大意如下

注意!你的文件,图片,数据库和其他重要文件都被加密成后缀为.ZRB的文件了。请不要担心,你可以恢复你所有的文件。恢复文件的唯一方法是购买解密工具和你的独特密钥。该解密工具将解密您所有加密的文件。想要购买这个解密工具,你可以向我们发送邮件zorab28@protonmail.com。我们并不关心你本人的信息和你的数据,这只是为了赚点小钱。你可以发送你的被加密文件给我们,我们将免费解密它。警告,请你不要尝试自己修改文件,不要尝试使用任何第三方软件恢复你数据。你的个人id是:XXX

 

相关邮件地址

zorab28@protonmail.com

文章原文链接:https://www.anquanke.com/post/id/207965