Фальшивый расшифровщик файлов Zorab шифрует их еще сильнее

Опубликовано at 18:30
103 0

Весьма циничного вредоноса обнаружили эксперты по кибербезопасности.

Вымогательское ПО Zorab распространяется под видом декриптора для файлов, зашифрованных STOP Djvu. Однако на самом деле эта программа не только не расшифровывает файлы, но и шифрует их повторно.

Ситуация заслуживает внимания, так как хотя в отличие от Maze, REvil, Netwalker и DoppelPaymer, шифровальщик STOP Djvu остается без внимания, в реальности он атакует гораздо большее число пользователей, чем все они вместе взятые. Securitylab утверждает, что данный вредонос является наиболее активно распространяемым вымогательским ПО за последний год.

Разработчиком поддельного декриптора является автор вымогательского ПО Zorab. Когда жертва STOP Djvu вводит свои данные в интерфейс поддельного декриптора и нажимает на «Start Scan», программа извлекает исполняемый файл crab.exe и сохраняет в папку %Temp%.

Этот исполняемый файл представляет собой вымогательское ПО Zorab, шифрующее файлы и добавляющее к ним расширение .ZRB. В каждой папке с зашифрованными файлами появляется записка с требованием выкупа, где указан способ связи с вымогателями для получения от них дальнейших инструкций.

По данным экспертов, аппетиты ransomware, частота заражения, размер выкупа, словом, все параметры существенно выросли за 2019 год. С 2018 года операторы ощутимо увеличили сумму выкупа и начали использовать новый подход — кража конфиденциальных файлов. Согласно отчёту, в 2019 году число атак шифровальщиков выросло на 40%, при этом злоумышленники стали атаковать крупные организации, что привело к увеличению суммы выкупа с $6000 до $84 000.

Читайте также на АКБ:

Аппетиты шифровальщиков выросли за год в 14 раз

Подписываемся, следим @CyberAgency

Related Post