官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Avenger- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
攻击者以 STOP Djvu 勒索软件解密工具为名,诱使绝望的受害者下载执行试图解密。但他们没有能解密文件,而是感染了另一种勒索软件。
与 Maze、REvil、Netwalker 和 DoppelPaymer 一样,名为 STOP Djvu 的勒索软件也正在快速传播当中。STOP 勒索软件是过去一年中最活跃的勒索软件,每天有超过 600 个样本提交到 ID-Ransomware 上。(注:ID-Ransomware 为勒索软件识别服务提供商)
Emsisoft 与 Michael Gillespie 此前已经发布过较旧的 STOP Djvu 勒索软件变种的解密工具,但是不能解密较新的变种。
勒索软件如此的普遍,但很多受害者其实根本支付不起 500 美元的赎金。又一个勒索软件在加密的文件上再加密虽然是雪上加霜,但是对受害者来说也没那么可怕了。
Zorab 双重加密
近日,Michael Gillespie 发现了一个名为 Zorab 的勒索软件。该勒索软件伪装成 STOP Djvu 勒索软件的解密工具,但是该工具其实不会为你解密任何文件,而是使用 Zorab 勒索软件对所有已加密的文件再次进行加密。
当绝望的受害者在解密工具中输入信息并点击“开始扫描”(Start Scan)时,程序提取名为 crab.exe 的可执行文件并保存到 %Temp% 文件夹中。
Crab.exe 是 Zorab 的勒索软件,会对计算机的数据进行加密,追加的文件扩展名为 .ZRB。
Zorab 勒索软件还会在每个文件夹中创建名为 --DECRYPT--ZORAB.txt.ZRB 的勒索信息文件,包含如果联系勒索软件运营者获取付款方式的说明信息。
目前的研究未发现该勒索软件存在缺陷可以免费恢复加密文件。
IOC
—+-= ZORAB =-+—
Attention! Attention! Attention!
Your documents, photos, databases and other important files are encrypted and have the extension: .ZRB
Don't worry, you can return all your files!
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
if you want to decrypt your files
The only method of recovering files is to purchase decrypt tool
This tool will decrypt all your encrypted files.
To get this software you need write on our e-mail: zorab28@protonmail.com
What guarantees do we give to you?
Its just a business. We absolutely do not care about you and your deals, except getting benefits.
You can send 2 your encrypted file from your PC and we decrypt it for free.
+--Warning--+
DONT try to change files by yourself, DONT use any third party software for restoring your data
Your personal id: xxx如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 532 文章数
- 176 关注者