Fake Ransomware-Tool
Zorab Ransomware tarnt sich als kostenloses Anti-Ransomware-Entschlüsselungstool
Das Beispiel, das sich die Security-Experten von Sophos angesehen haben, behauptet, ein Entschlüsselungsprogramm für die DJVU-Ransomware zu sein, die ihren Namen von der .djvu Erweiterung erhält, die sie an Dateien anfügt, die gerade verschlüsselt wurden.
Beim Start werden Sie gebeten, Ihre „persönliche ID“ und eine Dateierweiterung einzugeben, vermutlich um dem Programm eine legitime Note zu verleihen. Soweit die Experten jedoch sehen können, wird Ihre Eingabe ignoriert, und der Dialog wird lediglich als Starter für den Verschlüsseler verwendet. Tatsächlich extrahiert das gefälschte Entschlüsselungsprogramm einfach eine Kopie eines anderen Programms namens crab.exe (nicht zu verwechseln mit der GandCrab-Ransomware-Familie), das als Datenressource darin eingebettet ist.
Der gefälschte Entschlüsseler schreibt crab.exein Ihren TEMP-Ordner, startet ihn und löscht sich dann von selbst.
Die crab.exeDatei ist keine rekonstruierte Ransomware: Sie durchsucht Ihre Dateien nach Übereinstimmungen mit einer langen Liste zu verschlüsselnder Dateierweiterungen und verschlüsselt sie mit einem zufällig ausgewählten Verschlüsselungsschlüssel.
Die Erweiterung .djvu, die durch die Ransomware hinzugefügt wurde, die dieses gefakte Anti-Ransomware Programm angeblich beheben kann, steht auf der Liste.
Wenn Sie dieses Programm ausführen, um sich möglicherweise kostenlos von einem Ransomware-Angriff erholen zu können, werden Sie in eine Double-Whammy-Situation geraten, in der alle Dateien, die DJVU noch nicht angegriffen hat, einmal verschlüsselt werden und alle bereits verschlüsselten Dateien jetzt zum zweiten Mal verschlüsselt werden.
Diese Malware verwendet die Erweiterung .ZRB, sodass doppelt verschlüsselte Dateien jetzt mit .djvu.ZRB enden. Nachdem das Verschlüsselung abgeschlossen ist, wird Ihr Windows-Hintergrundbild für einen dramatischen Effekt auf einen schwarzen Hintergrund gesetzt, und eine Datei mit dem Namen –DECRYPT–ZORAB.txt wird Ihrem Desktop hinzugefügt, um Ihnen mitzuteilen, was als Nächstes zu tun ist:
Dabei wird kein Preis, keine Webseite besucht und keine Cryptocoin-Brieftasche, an die Geld überwiesen werden kann, angezeigt. Nur eine „persönliche ID“ und eine pseudo-anonyme Protonmail-E-Mail-Adresse, die Sie angeblich mit den Gaunern in Kontakt bringt. Beachten Sie, dass diese Gauner durch einfaches Ändern einiger Textzeichenfolgen in ihrer Malware und durch erneutes Kompilieren diese leicht in eine Variante verwandeln können, die behauptet, andere Ransomware-Stämme zu „reparieren“.
Sophos vermutet, dass DJVU dieses Mal ins Visier genommen wurde, da frühe Versionen dieser Malware kostenlos entschlüsselt werden konnten, aber es scheint, dass die DJVU-Gauner kürzlich einige „Verbesserungen“ vorgenommen haben, um das Entschlüsseln ohne Bezahlung zu erschweren. Infolgedessen gehen die Experten davon aus, dass zumindest einige Opfer jetzt bereit sind, außerhalb ihrer üblichen Komfortzone nach kostenlosen Tools zu suchen, die angeblich helfen.
Es ist noch nicht klar, wie dieses bestimmte Beispiel verteilt wurde oder wie viele Personen es ausgeführt haben. Wenn Sie jedoch bereits Opfer eines Ransomware-Angriffs geworden sind, schalten Sie Ihre Scharfsinn bei der Suche nach einem kostenlosen Tool zur Wiederherstellung nicht aus. Bei Ransomware geht es nicht nur um Angriffe auf große Unternehmen und Unternehmensnetzwerke.
Zu Hause können Sie sich mit einfachen Vorsichtsmaßnahmen schützen:
- Öffnen Sie keine unerwarteten Anhänge, insbesondere nicht die E-Mail selbst, die von irgendjemandem stammen könnte, den Sie nicht kennen.
- Klicken Sie sich nicht durch unerwartete Weblinks oder laden Sie Software herunter, nach der Sie nicht gefragt haben, nur weil jemand, den Sie nicht kennen, es Ihnen gesagt hat.
- Holen Sie sich Ihre Patches und Sicherheitsupdates so schnell wie möglich. Machen Sie es den Gaunern nicht leicht, indem Sie sich Angriffen aussetzen, die Sie hätten verhindern können.
- Suchen Sie nach einem Antivirenprogramm, das einen Echtzeitfilter enthält, um böswilliges Verhalten zu stoppen, bevor es Schaden anrichtet, sowie einen integrierten Webfilter, der Sie von gehackten oder schädlichen Websites fernhält.
- Wenn Sie nicht weiterkommen, fragen Sie jemanden, den Sie kennen und dem Sie vertrauen, anstatt alleine immer weiter online zu suchen.
- Erstellen Sie regelmäßig Backups, damit Sie die Chance haben, verlorene oder beschädigte Dateien selbst wiederherzustellen.
Sowohl der gefälschte Entschlüsseler als auch die darin enthaltene Ransomware werden von Sophos-Produkten als Troj / Ransom-FYU blockiert. Andere Namen, die Sie hier für diese Bedrohung verwenden können, sind Zorab (der Name, den es sich selbst gibt) und Zorba, ein Anagramm davon.