Falsches Entschlüsselungstool für Ransomware verschlüsselt Dateien erneut

Zorab gibt sich als Decryptor für STOP Djvu aus. Letztere ist die derzeit am weitesten verbreite Ransomware. Derzeit ist noch unklar, ob ein kostenloses Entschlüsselungstool für Zorab bereitgestellt werden kann.

Das MalwareHunter-Team hat eine neue Ransomware entdeckt, die eine besonders perfide Strategie verfolgt, um Nutzer zu erpressen. Die Zorab genannte Malware gibt sich als kostenloses Entschlüsselungstool für die Ransomware STOP Djvu aus. Doch statt Nutzern den versprochenen Zugriff auf ihre verloren geglaubten Dateien zu gewähren, verschlüsselt Zorab diese erneut, um selbst ein Lösegeld zu verlangen, wie Bleeping Computer berichtet.

Ransomware (Bild: Shutterstock/Bildbearbeitung: ZDNet.de)Demnach suchten sich die Entwickler von Zorab mit STOP Djvu die derzeit wohl am weitesten verbreitete Erpressersoftware aus, um möglichst viele Anwender in die Falle zu locken. Bei ID-Ransomware, einem Service zu Identifizierung von Ransomware, soll es STOP Djvu auf mehr als 500 Einreichungen pro Tag bringen.

Tatsächlich liegt für ältere Varianten von STOP Djvu ein kostenloses Entschlüsselungstool vor. Es wurde vom Sicherheitsanbieter Emisoft und Michael Gillespie entwickelt. Die Verschlüsselung neuerer Varianten kann indes noch nicht geknackt werden.

In der Öffentlichkeit soll STOP Djvu bisher wenig bekannt sein, weil sich die Ransomware fast ausschließlich gegen Endanwender richtet. Die Verbreitung erfolgt zudem auf diese Zielgruppe ausgerichtet über angebliche Software-Cracks.

Wird der falsche Decryptor gestartet, fordert er das Opfer auf, die von STOP Djvu generierte ID sowie die für die verschlüsselten Dateien verwendete Dateiendung einzugeben. Ein Klick auf den Button „Start Scan“ führt jede eine weitere Anwendung namens „crab.exe“ aus. Dabei handelt es sich um die eigentliche Zorab-Ransomware, die alle Dateien erneut verschlüsselt und mit der Dateiendung „ZRB“ versieht. Zudem legt sie in jeden Ordner eine Lösegeldforderung wie Anweisungen, wie die Cyberkriminellen zu kontaktieren sind, ab.

Die Kontaktaufnahme soll über eine E-Mail-Adresse des Anbieters Proton Mail erfolgen. Die Hacker bieten zudem an, zwei Dateien kostenlos zu entschlüsseln, um nachzuweisen, dass sie tatsächlich in der Lage sind, die Daten des Opfers wieder freizugeben. Zur Höhe des Lösegelds machen die Hacker keine Angaben.

Bleeping Computer weist darauf hin, dass die Zorab-Ransomware derzeit noch analysiert wird. Nutzer sollten deswegen von Lösegeldzahlungen absehen, zumindest bis feststehe, ob eine Schwachstelle in der Malware eine kostenlose Entschlüsselung ermögliche.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Malware, Ransomware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Falsches Entschlüsselungstool für Ransomware verschlüsselt Dateien erneut

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *