Viene distribuito come un decriptatore per STOP Djvu Ransomware, attira persone già disperate con la promessa di una decodifica gratuita. Invece di recuperare i loro file gratuitamente, vengono infettati da un altro ransomware che peggiora ulteriormente la loro situazione.
n
Mentre le operazioni di ransomware come Maze, REvil, Netwalker e DoppelPaymer ricevono ampia attenzione da parte dei media a causa delle loro vittime di grande valore, un altro ransomware chiamato STOP Djvu sta infettando più persone di tutte le altre tipologie insieme su base giornaliera.
n
Con oltre 600 invii al giorno al servizio di identificazione ransomware ID-Ransomware, STOP ransomware è il ransomware più diffuso nell’ultimo anno.
n
n
Emsisoft e Michael Gillespie avevano precedentemente rilasciato un decriptatore per le vecchie varianti di STOP Djvu, ma le nuove varianti non possono essere decifrate gratuitamente.
n
Se il ransomware è così comune, ti starai chiedendo perché non ottiene molta attenzione?
n
La mancanza di attenzione è semplicemente dovuta al fatto che il ransomware colpisce principalmente gli utenti domestici infettati da bundle di adware che fingono di essere software.
n
Mentre il download e l’installazione di malware non è scusabile, molti di coloro che sono infetti semplicemente non possono permettersi di pagare un riscatto di $ 500 per un decriptatore.
n
La doppia crittografia dei dati di qualcuno con un secondo ransomware sta semplicemente dando dei calci a qualcuno mentre è già disperato.
n
Zorab crittografa due volte i dati di una vittima
n
Sfortunatamente, è quello che sta facendo un nuovo ransomware chiamato Zorab scoperto da Michael Gillespie.
n
n
I creatori del ransomware Zorab hanno rilasciato un falso decriptatore STOP Djvu che non recupera alcun file gratuitamente ma invece crittografa tutti i dati già crittografati della vittima con un altro ransomware.
n
n
Quando un utente disperato inserisce le proprie informazioni nel decifratore falso e fa clic su “Avvia scansione”, il programma estrae un altro eseguibile chiamato crab.exe e lo salva nella cartella {a99a1f178160d0ccabf421e3b6d1240d1fe1df588bebbd34e3de16e354822ce9} Temp{a99a1f178160d0ccabf421e3b6d1240d1fe1df588bebbd34e3de16e354822ce9}.
n
n
Crab.exe è un altro ransomware chiamato Zorab, che inizierà a crittografare i dati sul computer. Durante la crittografia dei file, il ransomware aggiungerà l’estensione .ZRB al nome del file.
n
n
Il ransomware creerà anche le note di riscatto denominate ‘–DECRYPT – ZORAB.txt.ZRB’ in ogni cartella in cui un file è crittografato. Questa nota contiene istruzioni su come contattare gli operatori di ransomware per le istruzioni di pagamento.
n
n
Questo ransomware è attualmente in fase di analisi e gli utenti non devono pagare il riscatto fino a quando non viene confermato che non è possibile utilizzare alcun punto debole per recuperare gratuitamente i file crittografati con Zorab.
n
Dettagli di compromissione
n
hash:
n
Fake decryptor: 1abf41be04801cfc3478502127abc47c2d84253ab659d576e5c02cc0b716c782nn
File associati:
n
Decryptor Djvu mlagham.exen{a99a1f178160d0ccabf421e3b6d1240d1fe1df588bebbd34e3de16e354822ce9}Temp{a99a1f178160d0ccabf421e3b6d1240d1fe1df588bebbd34e3de16e354822ce9}crab.exen--DECRYPT--ZORAB.txt.ZRBn
Testo della nota di riscatto:
n
—+-= ZORAB =-+—nnAttention! Attention! Attention!nnYour documents, photos, databases and other important files are encrypted and have the extension: .ZRBnnDon't worry, you can return all your files!nnThe only method of recovering files is to purchase decrypt tool and unique key for you.nnThis software will decrypt all your encrypted files.nnif you want to decrypt your filesnnThe only method of recovering files is to purchase decrypt toolnnThis tool will decrypt all your encrypted files.nnTo get this software you need write on our e-mail: zorab28@protonmail.comnnWhat guarantees do we give to you?nnIts just a business. We absolutely do not care about you and your deals, except getting benefits.nnYou can send 2 your encrypted file from your PC and we decrypt it for free.nn+--Warning--+n nDONT try to change files by yourself, DONT use any third party software for restoring your data nnYour personal id: xxxnn
Email associate:
n
n
zorab28@protonmail.com