Ransomware | Viry

Ransomware na druhou: Program slibuje dešifrování napadených souborů, místo toho je zašifruje ještě jednou

Internetem se šíří falešný program, který slibuje bezplatné odemknutí souborů napadených ransomwarem Stop Djvu. Ve skutečnosti ale jde ale rovněž o ransomware, a to Zorab. Napadené soubory zašifruje ještě jednou. Tématu se věnoval web Bleeping Computer.

Dvakrát zaplacené výkupné

Ransomware Stop Djvu je poměrně rozšířený malware. Denně je hlášeno více než 600 nových případů. Jde o nejvíce rozšířený ransomware za uplynulý rok. Cílí zejména na domácí uživatele, často se tváří jako crackovací software pro placené programy. Starší verze bylo možné zdarma dešifrovat, pro novější varianty to ale neplatí.

Nabídka bezplatného dešifrování, kterou propaguje skrytý ransomware Zorab, proto může být pro oběti velmi lákavá. Po stisknutí tlačítka „Spustit skenování“ se však namísto dešifrování spustí přesně opačný proces.

Do složky na dočasné soubory se nakopíruje spustitelný soubor crab.exe. Ten začne postupně šifrovat osobní soubory uživatele. Za názvy souborů se přidá přípona .zrb a do každého složky přibude textový soubor s instrukcemi pro obnovení obsahu disku.

image.png image.png
Podruhé zašifrované soubory a instrukce k nim (zdroj: Bleeping Computer)

Útočníci vyzývají oběti, aby je kontaktovali e-mailovou zprávou. Takto jim prý poskytnou bližší informace o dešifrování souborů. Nabízejí dešifrování dvou souborů zdarma, aby oběti nalákali. 

Odborníci doporučují útočníky nekontaktovat a nic jim neplatit. Stále se totiž snaží ransomware analyzovat a přijít na zranitelnost, která by umožnila odblokovat soubory bez nutnosti platit výkupné. Bližší informace včetně části zdrojového kódu, odkazu pro oběti a názvů souborů malwaru najdete zde

Diskuze (24) Další článek: Co bychom viděli, kdyby rakety jako Saturn V či Falcon Heavy byly průhledné?

Témata článku: , , , , , , , , , , , , , , ,