新型勒索病毒Zorab伪装成另一个解密工具?只要下载就会对文件进行二次加密!
近年来越来越多的勒索病毒出现,而且为了规避安全软件的查杀,还会使用各种注入技术以及较少人使用的语言进行编码,比如日前被发现的新型勒索病毒“Tycoon”。日前有安全机构发现了一个新的勒索病毒,最让人头疼的是,这个勒索病毒居然还伪装成另一款勒索病毒的解密工具!
相关新闻:发现Java编写新型勒索病毒“Tycoon”!可跨越Windows和Linux进行感染!
(图片来源:Finance Magnates)
据Bleeping Computer报道,ID Ransomware的创办人麦克(Michael Gillespie)日前发现一个名为“Zorab”的勒索病毒,这个病毒将自己伪装成另一个勒索病毒”Stop“(又名”Djvu“)的解密工具,当实际上却是对受害者的文件进行再度加密。
“嗯,有人为STOP Djvu发布了解密工具?等等…这是另一款勒索病毒。 不要信任你在网上找到的任何说它可以解密Djvu的东西,除非它来自我。这只是其中一个不相信我的受害者例子。”
报道指出,近年来各种勒索病毒不断出现,比如Maze、REvil、Netwalker和DoppelPaymer等都因为需要支付高昂的解密费用而备受关注,然而实际上一款名为“STOP Djvu”的勒索病毒感染的人却更多,几乎每天都有600个“STOP Djvu”勒索病毒提交给ID Ransomware识别服务,在勒索病毒领域的市占率高达56%,可以说是去年最活跃的勒索病毒。
(图片来源:Bleeping Computer)
Finance Magnates指出,“STOP Djvu”勒索病毒主要透过金钥产生器及破解程式散步,是目前变种最多的勒索病毒之一,至少有160种变种病毒。尽管Emsisoft和Michael Gillespie先前已发布了针对“STOP Djvu”的解密工具,然而可以解密的只有当中的148种变体,对于最新版本的“STOP Djvu”勒索病毒依旧无效。
(图片来源:网络)
麦克发现,这个假的“STOP Djvu”解密工具,实际上是另一个勒索病毒“Zorab”。当受害者下载时并执行时,就会打开一个名为crab.exe的可执行文件(“Zorab”勒索病毒本身),而该文件就会“.ZRB”的扩展名对设备上所有文件进行加密。此外,“Zorab”勒索病毒还会在每一个被加密的文件夹中,创建一个名为“ –DECRYPT–ZORAB.txt.ZRB”的赎金说明,里面包含了如何联系勒索病毒运营商,以及付款获得解密的说明。
(图片来源:Bleeping Computer)
(图片来源:Bleeping Computer)
(图片来源:Twitter@demonslay335)
报道指出,目前ID Ransomware正在“Zorab”勒索病毒进行分析,并且提醒民众务必在可靠的来源下载解密工具,否则可能造成二度伤害。
参考来源:Finance Magnates、Bleeping Computer