伪装的勒索软件解密工具竟然要对受害者的文件进行二次加密

近期，网络上有一款针对勒索软件Djvu的解密程序正在广泛传播。这款解密程序名为STOP Djvu，而可怕的是，它本身就是一个勒索软件。它生成可以免费为感染了Djvu的用户进行数据解密，并诱导目标用户在自己的设备上运行STOP Djvu。一旦用户运行了STOP Djvu，那么自己设备上已被加密的文件给将会再一次被加密，即二次加密。这样一来，用户不但没有免费解密成功，反而又会被另一种勒索软件再次感染，简直是屋漏偏逢连夜雨…

随着恶意软件Maze、REvil、Netwalker和DoppelPaymer从目标用户那里得到了巨大利益而受到了媒体的广泛关注时，另一款名叫STOP Djvu的勒索软件则青出于蓝而胜于蓝，因为它的每日感染人数比上面这些勒索软件每日总感染人数还要多。

勒索软件识别网站ID-Ransomware每天都会收到超过600个STOP Djvu的样本提交，而STOP勒索软件则是去年最活跃的勒索软件了。

安全研究专家Emsisoft和Michael Gillespie之前已经发布了一个针对旧版本STOP Djvu的解密程序了，但是这个程序对新版本的STOP Djvu却无能为力。

那么你可能觉得，既然STOP勒索软件的感染范围那么大，为什么关注它的人那么少呢？原因是因为，STOP勒索软件的主要目标为家庭用户，它会通过捆绑广告软件会冒充盗版软件的方式来感染用户设备。虽然用户下载或安装盗版软件本身就很不应该，而大多数被感染的用户压根也没有能力去支付那500美元的赎金。对于一个已经被勒索软件涂毒的用户来说，数据的二次加密无疑是雪上加霜。

Zorab对目标用户的数据进行双重加密

不幸的是，MalwareHunterTeam还发现了一款名叫Zorab的新型勒索软件，而Zorab的开发人员正是STOP Djvu勒索软件的开发者，前文也介绍过了，STOP Djvu不会解密任何文件，而是使用另一个勒索软件Zorab来二次加密受害者已经被加密的全部数据。

STOP勒索软件的受害者在看到STOP Djvu的出现时，肯定会心动不已，但是当他们打开如上图显示的解密工具并进行扫描之后，该解密程序将会提取另一个名为crab.exe的可执行文件，并保存至%Temp%目录中，相关代码如下所示：

Crab.exe就是那个名为Zorab的另一个勒索软件了，Crab.exe执行之后将会对目标用户设备上的数据进行加密。在加密的过程中，它会在所有被加密的文件后缀名后追加一个“.ZRB”。

除此之外，该勒索软件还会在每一个加密文件夹中创建一个名为–DECRYP–ZORAB.txt.ZRB”的勒索信息文件，其中包含了如何联系攻击者并支付赎金的方式。

目前，安全研究专家正在对这款勒索软件进行深入分析，因此我们建议广大用户如果不幸感染了这种勒索软件的话，请不要支付赎金。

入侵威胁指标IoC

哈希：

Fake decryptor: 1abf41be04801cfc3478502127abc47c2d84253ab659d576e5c02cc0b716c782

相关文件：

Decryptor Djvu mlagham.exe

%Temp%crab.exe

--DECRYPT--ZORAB.txt.ZRB

相关邮件地址：

zorab28@protonmail.com

*参考来源

bleepingcomputer