El descifrador de ransomware falso encripta dos veces los archivos de las víctimas desesperadas

El descifrador de ransomware falso encripta dos veces los archivos de las víctimas desesperadas

Se está distribuyendo un descifrador falso para STOP Djvu Ransomware que atrae a personas que ya están desesperadas con la promesa de descifrado gratuito. En lugar de recuperar sus archivos de forma gratuita, se infectan con otro ransomware que empeora aún más su situación.

Mientras que las operaciones de ransomware como Maze, REvil, Netwalker y DoppelPaymer reciben gran atención de los medios debido a sus víctimas de alto valor, otro ransomware llamado STOP Djvu está infectando a más personas que todas ellas combinadas a diario.

Con más de 600 envíos diarios al servicio de identificación de ransomware ID-Ransomware , STOP ransomware es el ransomware más activamente distribuido durante el año pasado.

DETENGA los envíos de ransomware Djvu a ID-Ransomware

Emsisoft y Michael Gillespie habían lanzado previamente un descifrador para las variantes más antiguas de STOP Djvu, pero las variantes más nuevas no se pueden descifrar de forma gratuita.

Si el ransomware es tan común, es posible que se pregunte por qué no recibe tanta atención.

La falta de atención se debe simplemente a que el ransomware afecta principalmente a los usuarios domésticos infectados a través de paquetes de adware que fingen ser grietas de software.

Si bien la descarga e instalación de grietas no es excusable, muchas de las personas infectadas simplemente no pueden pagar un rescate de $ 500 por un descifrador.

Cifrar dos veces los datos de alguien con un segundo ransomware es simplemente patear a alguien mientras ya está inactivo.

Zorab encripta dos veces los datos de una víctima

Desafortunadamente, esto es lo que está haciendo un nuevo ransomware llamado Zorab descubierto por Michael Gillespie .

Los creadores del ransomware Zorab han lanzado un descifrador falso de STOP Djvu que no recupera ningún archivo de forma gratuita, sino que encripta todos los datos ya cifrados de la víctima con otro ransomware.

Descifrador Djvu STOP falso

Descifrador Djvu STOP falso

Cuando un usuario desesperado ingresa su información en el descifrador falso y hace clic en ‘Iniciar análisis’, el programa extraerá otro ejecutable llamado crab.exe y lo guardará en la carpeta% Temp%.

Extraer y ejecutar el programa crab.exe

Crab.exe es otro ransomware llamado Zorab, que comenzará a cifrar los datos en la computadora. Al cifrar archivos, el ransomware agregará la extensión .ZRB al nombre del archivo.

Zorab archivos cifrados

El ransomware también creará notas de rescate llamadas ‘–DECRYPT - ZORAB.txt.ZRB’ en cada carpeta en la que se cifra un archivo. Esta nota contiene instrucciones sobre cómo contactar a los operadores de ransomware para obtener instrucciones de pago.

Nota de rescate de Zorab

Este ransomware se está analizando actualmente, y los usuarios no deben pagar el rescate hasta que se confirme que no se puede utilizar ninguna debilidad para recuperar los archivos cifrados de Zorab de forma gratuita.

Fuente: BleepingComputer


3 Me gusta

Increíble. :astonished: Vuelve a encriptar lo que ya está encriptado. :face_with_monocle:

Y esas personas, ¿qué pueden hacer ahora? :roll_eyes:

Saludos. :nerd_face:

1 me gusta