freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

伪装的勒索软件解密工具竟然要对受害者的文件进行二次加密
2020-07-02 21:32:29

近期,网络上有一款针对勒索软件Djvu的解密程序正在广泛传播。这款解密程序名为STOP Djvu,而可怕的是,它本身就是一个勒索软件。它生成可以免费为感染了Djvu的用户进行数据解密,并诱导目标用户在自己的设备上运行STOP Djvu。一旦用户运行了STOP Djvu,那么自己设备上已被加密的文件给将会再一次被加密,即二次加密。这样一来,用户不但没有免费解密成功,反而又会被另一种勒索软件再次感染,简直是屋漏偏逢连夜雨...

随着恶意软件Maze、REvil、Netwalker和DoppelPaymer从目标用户那里得到了巨大利益而受到了媒体的广泛关注时,另一款名叫STOP Djvu的勒索软件则青出于蓝而胜于蓝,因为它的每日感染人数比上面这些勒索软件每日总感染人数还要多。

勒索软件识别网站ID-Ransomware每天都会收到超过600个STOP Djvu的样本提交,而STOP勒索软件则是去年最活跃的勒索软件了。

安全研究专家Emsisoft和Michael Gillespie之前已经发布了一个针对旧版本STOP Djvu的解密程序了,但是这个程序对新版本的STOP Djvu却无能为力。

那么你可能觉得,既然STOP勒索软件的感染范围那么大,为什么关注它的人那么少呢?原因是因为,STOP勒索软件的主要目标为家庭用户,它会通过捆绑广告软件会冒充盗版软件的方式来感染用户设备。虽然用户下载或安装盗版软件本身就很不应该,而大多数被感染的用户压根也没有能力去支付那500美元的赎金。对于一个已经被勒索软件涂毒的用户来说,数据的二次加密无疑是雪上加霜。

Zorab对目标用户的数据进行双重加密

不幸的是,MalwareHunterTeam还发现了一款名叫Zorab的新型勒索软件,而Zorab的开发人员正是STOP Djvu勒索软件的开发者,前文也介绍过了,STOP Djvu不会解密任何文件,而是使用另一个勒索软件Zorab来二次加密受害者已经被加密的全部数据。

STOP勒索软件的受害者在看到STOP Djvu的出现时,肯定会心动不已,但是当他们打开如上图显示的解密工具并进行扫描之后,该解密程序将会提取另一个名为crab.exe的可执行文件,并保存至%Temp%目录中,相关代码如下所示:

Crab.exe就是那个名为Zorab的另一个勒索软件了,Crab.exe执行之后将会对目标用户设备上的数据进行加密。在加密的过程中,它会在所有被加密的文件后缀名后追加一个“.ZRB”。

除此之外,该勒索软件还会在每一个加密文件夹中创建一个名为--DECRYP--ZORAB.txt.ZRB”的勒索信息文件,其中包含了如何联系攻击者并支付赎金的方式。

目前,安全研究专家正在对这款勒索软件进行深入分析,因此我们建议广大用户如果不幸感染了这种勒索软件的话,请不要支付赎金。

入侵威胁指标IoC

哈希:

Fake decryptor: 1abf41be04801cfc3478502127abc47c2d84253ab659d576e5c02cc0b716c782

相关文件:

Decryptor Djvu mlagham.exe

%Temp%crab.exe

--DECRYPT--ZORAB.txt.ZRB

相关邮件地址:

zorab28@protonmail.com

*参考来源

bleepingcomputer

本文作者:, 转载请注明来自FreeBuf.COM

# 数据安全 # 数据安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑