ابزار رمزگشای جعلی باج افزار فایل های شما را مجدد کد میکند


یک رمزگشای باج افزار جعلی برای باج افزار STOP DJVU در حال پخش است که بر روی سیستم قربانیانی که عاجزانه در پی راهی برای بازگرداندن فایل هستند مینشیند و در نتیجه فایل های آنان را رمزگشایی نمیکند چرا که حاوی باج افزار دیگری هستند که اوضاع را بدتر میکند.

Surprise

یک رمزگشای باج افزار جعلی برای باج افزار STOP DJVU در حال پخش است که بر روی سیستم قربانیانی که عاجزانه در پی راهی برای بازگرداندن فایل هستند مینشیند و در نتیجه فایل های آنان را رمزگشایی نمیکند چرا که حاوی باج افزار دیگری هستند که اوضاع را بدتر میکند.

در حالی که کسب و کار های بزرگ باج افزاری چون Maze, REvil , Netwalker به دلیل آمار قربانیان بیشتر توجه بیشتری را از رسانه ها دریافت میکنند ولی باج افزار دیگری به نام Stop Djvu افراد بیشتری را روزانه آلوده میکند.

با بیش از 600 مورد در روز با توجه به آی دی های باج افزار ساخته شده این آلودگی تبدیل به فعال ترین باج افزار در طی یکسال اخیر شده است.

STOP Djvu ransomware submissions to ID-Ransomware

شرکت Emsisoft اخیرا رمزگشایی برای این باج افزار نسخه ی قدیمی تر آن منتشر کرده بود ولی گونه های جدید تر امکان رمزگشایی را ندارند.

اگر این باج افزار بسیار رایج است، ممکن است تعجب کنید که چرا خبر خاصی پیرامون آن نیز و توجه زیادی را جلب نمیکند؟

دلیل این کمبود توجه این است که این باج افزار از طریق کرک های نرم افزاری، تبلیغات کلاه برداری کاربران خانگی را آلوده میکند.

در حالی که دانلود و نصب فایل های کرک راه درستی نیست ولی بسیاری از کسانی که آلوده شده اند امکان پرداخت 500 دلار را ندارند.

رمزنگاری دوباره ی اطلاعات افرادی دیگر با باج افزار دوم مثل ضربه زدن به کسی است که ناک اوت شده

متاسفانه، این باج افزار جدیدی به نام zorab میباشد که توسط تیم امنیتی MalwareHunterTeam کشف شده است.

سازندگان این باج افزار یک رمزگشای جعلی را عرضه کرده اند که نه تنها هیچ فایلی را برای شما رمزگشایی نمیکند، بلکه تمامی فایل های از قبل کد شده را یکبار دیگر رمزنگاری میکند.

Fake STOP Djvu decryptor

 

وقتی که یک کاربر درمانده اطلاعات خود را در این رمز گشای جعلی وارد میکند و گزینه ی شروع اسکن را میزند، این برنامه یک فایل اجرایی دیگر به نام crab.exe را اجرا میکند و در پوشه temp ذخیره میکند.

Extracting and executing the crab.exe program

Crab.exe باج افزار دیگری به نام zorab میباشد که شروع به رمزنگاری اطلاعات سیستم میکند. پس از آن تمامی فایل ها پسوند .ZRB را به خود میگیرند.

Zorab encrypted files

باج افزار همچنین یک یادداشت باج افزار مخصوص به خود در محتوای txt در هر پوشه ی سیستم میسازد. این یاد داشت حاوی دستورالعمل هایی میباشد که چگونه با سازنده ی باج افزار ارتباط برقرار کنید و متد های پرداخت را به شما معرفی میکند.

Zorab ransom note

این باج افزار در حال تحلیل و بررسی میباشد و کاربران نمیبایست پولی را به آن پرداخت کنند تا زمانی که مشخص شود هیچ نقطه ضعفی برا بازیابی فایل ها وجود ندارد.

منبع: www.bleepingcomputer.com