De acordo com o MalwareHunterTeam, um Decodificador de ransomware falso criptografa duplamente os arquivos das vítimas já desesperadas.
Está sendo distribuído um decodificador falso para o Ransomware STOP Djvu, que atrai pessoas já desesperadas com a promessa de descriptografia gratuita. Porém, em vez de recuperar seus arquivos de graça, eles são infectados com outro ransomware que piora ainda mais a situação.
Decodificador de ransomware falso criptografa duplamente os arquivos das vítimas
Enquanto operações de ransomware como Maze, REvil, Netwalker e DoppelPaymer recebem ampla atenção da mídia devido a suas vítimas de alto valor, outro ransomware chamado STOP Djvu está infectando mais pessoas do que todas elas combinadas diariamente.
Com mais de 600 envios por dia ao serviço de identificação de ransomware ID-Ransomware, o STOP ransomware é o ransomware mais ativamente distribuído no ano passado.
A Emsisoft e Michael Gillespie haviam lançado anteriormente um decodificador para as variantes mais antigas do STOP Djvu, mas as variantes mais recentes não podem ser descriptografadas gratuitamente.
Se o ransomware é tão comum, você pode estar se perguntando por que ele não recebe muita atenção?
A falta de atenção é simplesmente porque o ransomware afeta principalmente usuários domésticos infectados por pacotes de adware que fingem ser cracks no software.
Embora o download e a instalação de cracks não sejam desculpáveis, muitos dos que estão infectados simplesmente não podem pagar um resgate de U$$ 500 por um decodificador.
A criptografia dupla dos dados de alguém com um segundo ransomware é apenas chutar alguém enquanto eles já estão inativos. Infelizmente, é isso que um novo ransomware chamado Zorab descoberto pelo MalwareHunterTeam está fazendo.
Os criadores do ransomware Zorab lançaram um decodificador STOP Djvu falso que não recupera nenhum arquivo de graça, mas criptografa todos os dados já criptografados da vítima com outro ransomware.
Quando um usuário desesperado digita suas informações no decodificador falso e clica em ‘Iniciar verificação’, o programa extrai outro executável chamado crab.exe e salva na pasta %Temp%.
O Crab.exe é outro ransomware chamado Zorab, que começará a criptografar os dados no computador. Ao criptografar arquivos, o ransomware anexará a extensão .ZRB ao nome do arquivo.
O ransomware também criará notas de resgate chamadas ‘–DECRYPT – ZORAB.txt.ZRB’ em cada pasta em que um arquivo é criptografado. Esta nota contém instruções sobre como entrar em contato com os operadores de ransomware para obter instruções de pagamento.
Atualmente, esse ransomware está sendo analisado e os usuários não devem pagar o resgate até que seja confirmado que nenhuma fraqueza pode ser usada para recuperar arquivos criptografados Zorab gratuitamente.
FONTE: BlOG DO EDIVALDO