Zorab-Schadsoftware: Ransomware tarnt sich als Entschlüsselungs-Tool
Ein vermeintliches Entschlüsselungsprogramm verspricht, Dateien wiederherzustellen, die mit der STOP-Djvu-Ransomware verschlüsselt wurden. Doch wenn die Betroffenen das Programm ausführen, bekommen sie nicht etwa ihre Daten zurück – sie fangen sich eine zweite Ransomware ein. Diese verschlüsselt die bereits verschlüsselten Dateien nochmals. Eine lesbare Textdatei fordert dann die Betroffenen dazu auf, eine Entschlüsselungs-Software zu erwerben, mit der sie angeblich die erste Hülle an Verschlüsselung wieder rückgängig machen sollen.
Der Ransomware-Experte Michael Gillespie berichtete zuerst auf Twitter(öffnet im neuen Fenster) über die Tarnung der Malware mit dem Namen Zorab, Bleeping Computer griff seinen Fund auf(öffnet im neuen Fenster). Gillespie hatte zuvor mit Emsisoft eine Möglichkeit veröffentlicht, mit Stop Djvu befallene Daten wieder zu entschlüsseln(öffnet im neuen Fenster). Bei einigen Varianten der Schadsoftware funktioniert das alte Programm jedoch nicht, da sie nicht mehr auf einen Offline-Schlüssel zurückgreifen, wenn die Kontrollverbindung zu den Angreifern abreißt.
Das kostenlose Fake-Tool nutzt diese Leerstelle und die Ratlosigkeit der Betroffenen aus. Es speichert die Datei crab.exe im Temp-Ordner des Systems ab und verschlüsselt danach alle Dateien. Für Zorab-Ransomware steht derzeit noch kein Entschlüsselungstool zur Verfügung.
Ransomware aus der STOP-Djvu-Gruppe befällt Computer vor allem über Downloads von Cracks für kostenpflichtige Software(öffnet im neuen Fenster) und illegale Downloads. Laut Statistiken von Emsisoft und ID Ransomware(öffnet im neuen Fenster) gehört STOP-Djvu-Ransomware zu den am meisten verbreiteten Verschlüsselungstrojanern der letzten Monate.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.