Falsches Entschlüsselungstool für Ransomware verschlüsselt Dateien erneut

Das MalwareHunter-Team hat eine neue Ransomware entdeckt, die eine besonders perfide Strategie verfolgt, um Nutzer zu erpressen. Die Zorab genannte Malware gibt sich als kostenloses Entschlüsselungstool für die Ransomware STOP Djvu aus. Doch statt Nutzern den versprochenen Zugriff auf ihre verloren geglaubten Dateien zu gewähren, verschlüsselt Zorab diese erneut, um selbst ein Lösegeld zu verlangen, wie Bleeping Computer berichtet.

Demnach suchten sich die Entwickler von Zorab mit STOP Djvu die derzeit wohl am weitesten verbreitete Erpressersoftware aus, um möglichst viele Anwender in die Falle zu locken. Bei ID-Ransomware, einem Service zu Identifizierung von Ransomware, soll es STOP Djvu auf mehr als 500 Einreichungen pro Tag bringen.

Tatsächlich liegt für ältere Varianten von STOP Djvu ein kostenloses Entschlüsselungstool vor. Es wurde vom Sicherheitsanbieter Emisoft und Michael Gillespie entwickelt. Die Verschlüsselung neuerer Varianten kann indes noch nicht geknackt werden.

In der Öffentlichkeit soll STOP Djvu bisher wenig bekannt sein, weil sich die Ransomware fast ausschließlich gegen Endanwender richtet. Die Verbreitung erfolgt zudem auf diese Zielgruppe ausgerichtet über angebliche Software-Cracks.

Wird der falsche Decryptor gestartet, fordert er das Opfer auf, die von STOP Djvu generierte ID sowie die für die verschlüsselten Dateien verwendete Dateiendung einzugeben. Ein Klick auf den Button „Start Scan“ führt jede eine weitere Anwendung namens „crab.exe“ aus. Dabei handelt es sich um die eigentliche Zorab-Ransomware, die alle Dateien erneut verschlüsselt und mit der Dateiendung „ZRB“ versieht. Zudem legt sie in jeden Ordner eine Lösegeldforderung wie Anweisungen, wie die Cyberkriminellen zu kontaktieren sind, ab.

Die Kontaktaufnahme soll über eine E-Mail-Adresse des Anbieters Proton Mail erfolgen. Die Hacker bieten zudem an, zwei Dateien kostenlos zu entschlüsseln, um nachzuweisen, dass sie tatsächlich in der Lage sind, die Daten des Opfers wieder freizugeben. Zur Höhe des Lösegelds machen die Hacker keine Angaben.

Bleeping Computer weist darauf hin, dass die Zorab-Ransomware derzeit noch analysiert wird. Nutzer sollten deswegen von Lösegeldzahlungen absehen, zumindest bis feststehe, ob eine Schwachstelle in der Malware eine kostenlose Entschlüsselung ermögliche.