Zorab-Schadsoftware: Ransomware tarnt sich als Entschlüsselungs-Tool
Ein vermeintliches Entschlüsselungsprogramm verspricht, Dateien wiederherzustellen, die mit der STOP-Djvu-Ransomware verschlüsselt wurden. Doch wenn die Betroffenen das Programm ausführen, bekommen sie nicht etwa ihre Daten zurück – sie fangen sich eine zweite Ransomware ein. Diese verschlüsselt die bereits verschlüsselten Dateien nochmals. Eine lesbare Textdatei fordert dann die Betroffenen dazu auf, eine Entschlüsselungs-Software zu erwerben, mit der sie angeblich die erste Hülle an Verschlüsselung wieder rückgängig machen sollen.
Der Ransomware-Experte Michael Gillespie berichtete zuerst auf Twitter(öffnet im neuen Fenster) über die Tarnung der Malware mit dem Namen Zorab, Bleeping Computer griff seinen Fund auf(öffnet im neuen Fenster) . Gillespie hatte zuvor mit Emsisoft eine Möglichkeit veröffentlicht, mit Stop Djvu befallene Daten wieder zu entschlüsseln(öffnet im neuen Fenster) . Bei einigen Varianten der Schadsoftware funktioniert das alte Programm jedoch nicht, da sie nicht mehr auf einen Offline-Schlüssel zurückgreifen, wenn die Kontrollverbindung zu den Angreifern abreißt.
Das kostenlose Fake-Tool nutzt diese Leerstelle und die Ratlosigkeit der Betroffenen aus. Es speichert die Datei crab.exe im Temp-Ordner des Systems ab und verschlüsselt danach alle Dateien. Für Zorab-Ransomware steht derzeit noch kein Entschlüsselungstool zur Verfügung.
Ransomware aus der STOP-Djvu-Gruppe befällt Computer vor allem über Downloads von Cracks für kostenpflichtige Software(öffnet im neuen Fenster) und illegale Downloads. Laut Statistiken von Emsisoft und ID Ransomware(öffnet im neuen Fenster) gehört STOP-Djvu-Ransomware zu den am meisten verbreiteten Verschlüsselungstrojanern der letzten Monate.