Zorab-Schadsoftware: Ransomware tarnt sich als Entschlüsselungs-Tool

Als wäre ein Ransomware-Befall noch nicht genug: Ein als Entschlüsselungsprogramm getarnter Verschlüsselungstrojaner bringt Betroffenen doppelt Probleme.

Artikel veröffentlicht am , Anna Biselli
Aus einem Problem werden zwei.
Aus einem Problem werden zwei. (Bild: momentcaptured1/flickr.com/CC-BY 2.0)

Ein vermeintliches Entschlüsselungsprogramm verspricht, Dateien wiederherzustellen, die mit der STOP-Djvu-Ransomware verschlüsselt wurden. Doch wenn die Betroffenen das Programm ausführen, bekommen sie nicht etwa ihre Daten zurück - sie fangen sich eine zweite Ransomware ein. Diese verschlüsselt die bereits verschlüsselten Dateien nochmals. Eine lesbare Textdatei fordert dann die Betroffenen dazu auf, eine Entschlüsselungs-Software zu erwerben, mit der sie angeblich die erste Hülle an Verschlüsselung wieder rückgängig machen sollen.

Stellenmarkt
  1. DevOps Engineer (m/w/d)
    STEMMER IMAGING AG, Puchheim bei München
  2. SAP ABAP/UI5 Entwickler (m/w/x)
    über duerenhoff GmbH, Osnabrück
Detailsuche

Der Ransomware-Experte Michael Gillespie berichtete zuerst auf Twitter über die Tarnung der Malware mit dem Namen Zorab, Bleeping Computer griff seinen Fund auf. Gillespie hatte zuvor mit Emsisoft eine Möglichkeit veröffentlicht, mit Stop Djvu befallene Daten wieder zu entschlüsseln. Bei einigen Varianten der Schadsoftware funktioniert das alte Programm jedoch nicht, da sie nicht mehr auf einen Offline-Schlüssel zurückgreifen, wenn die Kontrollverbindung zu den Angreifern abreißt.

Das kostenlose Fake-Tool nutzt diese Leerstelle und die Ratlosigkeit der Betroffenen aus. Es speichert die Datei crab.exe im Temp-Ordner des Systems ab und verschlüsselt danach alle Dateien. Für Zorab-Ransomware steht derzeit noch kein Entschlüsselungstool zur Verfügung.

Ransomware aus der STOP-Djvu-Gruppe befällt Computer vor allem über Downloads von Cracks für kostenpflichtige Software und illegale Downloads. Laut Statistiken von Emsisoft und ID Ransomware gehört STOP-Djvu-Ransomware zu den am meisten verbreiteten Verschlüsselungstrojanern der letzten Monate.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Meta stoppt ausgefeilte russische Desinformationskampagne

Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
Artikel
  1. iPadOS 16: Apple bringt Stage Manager auf alte iPads
    iPadOS 16
    Apple bringt Stage Manager auf alte iPads

    Zuerst wollte Apple das wichtigste iPadOS-16-Feature nur auf M1-iPads bringen, doch nun kommt der Stage Manager auch für alte iPads.

  2. Core-i-13000: Intel präsentiert Raptor Lake mit bis zu 5,8 GHz
    Core-i-13000
    Intel präsentiert Raptor Lake mit bis zu 5,8 GHz

    Auf der Innovation hat Intel die 13. Core Generation vorgestellt. Kernzahl, Takt und Effizienz sollen deutlich steigen.

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Gigabyte RTX 3060 Ti 499€, ASRock RX 6800 579€) • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ [Werbung]
    •  /