新型勒索病毒Zorab伪装成另一个解密工具？只要下载就会对文件进行二次加密！

近年来越来越多的勒索病毒出现，而且为了规避安全软件的查杀，还会使用各种注入技术以及较少人使用的语言进行编码，比如日前被发现的新型勒索病毒“Tycoon”。日前有安全机构发现了一个新的勒索病毒，最让人头疼的是，这个勒索病毒居然还伪装成另一款勒索病毒的解密工具！

相关新闻：发现Java编写新型勒索病毒“Tycoon”！可跨越Windows和Linux进行感染！

（图片来源：Finance Magnates）

据Bleeping Computer报道，ID Ransomware的创办人麦克（Michael Gillespie）日前发现一个名为“Zorab”的勒索病毒，这个病毒将自己伪装成另一个勒索病毒”Stop“（又名”Djvu“）的解密工具，当实际上却是对受害者的文件进行再度加密。

“嗯，有人为STOP Djvu发布了解密工具？等等…这是另一款勒索病毒。 不要信任你在网上找到的任何说它可以解密Djvu的东西，除非它来自我。这只是其中一个不相信我的受害者例子。”

报道指出，近年来各种勒索病毒不断出现，比如Maze、REvil、Netwalker和DoppelPaymer等都因为需要支付高昂的解密费用而备受关注，然而实际上一款名为“STOP Djvu”的勒索病毒感染的人却更多，几乎每天都有600个“STOP Djvu”勒索病毒提交给ID Ransomware识别服务，在勒索病毒领域的市占率高达56%，可以说是去年最活跃的勒索病毒。

（图片来源：Bleeping Computer）

Finance Magnates指出，“STOP Djvu”勒索病毒主要透过金钥产生器及破解程式散步，是目前变种最多的勒索病毒之一，至少有160种变种病毒。尽管Emsisoft和Michael Gillespie先前已发布了针对“STOP Djvu”的解密工具，然而可以解密的只有当中的148种变体，对于最新版本的“STOP Djvu”勒索病毒依旧无效。

（图片来源：网络）

麦克发现，这个假的“STOP Djvu”解密工具，实际上是另一个勒索病毒“Zorab”。当受害者下载时并执行时，就会打开一个名为crab.exe的可执行文件（“Zorab”勒索病毒本身），而该文件就会“.ZRB”的扩展名对设备上所有文件进行加密。此外，“Zorab”勒索病毒还会在每一个被加密的文件夹中，创建一个名为“ –DECRYPT–ZORAB.txt.ZRB”的赎金说明，里面包含了如何联系勒索病毒运营商，以及付款获得解密的说明。

（图片来源：Bleeping Computer）

（图片来源：Bleeping Computer）

（图片来源：Twitter@demonslay335）

报道指出，目前ID Ransomware正在“Zorab”勒索病毒进行分析，并且提醒民众务必在可靠的来源下载解密工具，否则可能造成二度伤害。

参考来源：Finance Magnates、Bleeping Computer