Zorab-Schadsoftware: Ransomware tarnt sich als Entschlüsselungs-Tool

Als wäre ein Ransomware-Befall noch nicht genug: Ein als Entschlüsselungsprogramm getarnter Verschlüsselungstrojaner bringt Betroffenen doppelt Probleme.

Artikel veröffentlicht am , Anna Biselli
Aus einem Problem werden zwei.
Aus einem Problem werden zwei. (Bild: momentcaptured1/flickr.com/CC-BY 2.0)

Ein vermeintliches Entschlüsselungsprogramm verspricht, Dateien wiederherzustellen, die mit der STOP-Djvu-Ransomware verschlüsselt wurden. Doch wenn die Betroffenen das Programm ausführen, bekommen sie nicht etwa ihre Daten zurück - sie fangen sich eine zweite Ransomware ein. Diese verschlüsselt die bereits verschlüsselten Dateien nochmals. Eine lesbare Textdatei fordert dann die Betroffenen dazu auf, eine Entschlüsselungs-Software zu erwerben, mit der sie angeblich die erste Hülle an Verschlüsselung wieder rückgängig machen sollen.

Stellenmarkt
  1. Embedded Software Architect Electronics & Innovation (m/w/d)
    Silver Atena GmbH, Stuttgart
  2. Requirements Engineer (m/w/d)
    Zentrum Bayern Familie und Soziales, München
Detailsuche

Der Ransomware-Experte Michael Gillespie berichtete zuerst auf Twitter über die Tarnung der Malware mit dem Namen Zorab, Bleeping Computer griff seinen Fund auf. Gillespie hatte zuvor mit Emsisoft eine Möglichkeit veröffentlicht, mit Stop Djvu befallene Daten wieder zu entschlüsseln. Bei einigen Varianten der Schadsoftware funktioniert das alte Programm jedoch nicht, da sie nicht mehr auf einen Offline-Schlüssel zurückgreifen, wenn die Kontrollverbindung zu den Angreifern abreißt.

Das kostenlose Fake-Tool nutzt diese Leerstelle und die Ratlosigkeit der Betroffenen aus. Es speichert die Datei crab.exe im Temp-Ordner des Systems ab und verschlüsselt danach alle Dateien. Für Zorab-Ransomware steht derzeit noch kein Entschlüsselungstool zur Verfügung.

Ransomware aus der STOP-Djvu-Gruppe befällt Computer vor allem über Downloads von Cracks für kostenpflichtige Software und illegale Downloads. Laut Statistiken von Emsisoft und ID Ransomware gehört STOP-Djvu-Ransomware zu den am meisten verbreiteten Verschlüsselungstrojanern der letzten Monate.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /