網路不法分子正在散佈偽裝成STOP勒索軟體解密工具的木馬。
當人們發現勒索軟體對自己的文件進行了加密之後,會怎麼做?首先很可能會驚慌失措,然後開始擔心,尋找恢復數據的方法,一般不會輕易向勒索者支付贖金(無論如何,交了也沒有用)。許多人會去網上搜索解決方案或在社交網路上徵求意見。日前新發現的Zorab木馬程式,開發者將其嵌入到一個聲稱可以幫助STOP和Djvu勒索軟體受害者的工具中。
以假的STOP解密器為誘餌
不法分子加劇了STOP/Djvu勒索軟體受害者面臨的問題,該勒索軟體會加密數據,並根據版本的不同,為修改後的文件分配不同的擴展名,選項包括.djvu、.djvus、.djvuu、 .tfunde和.uudjvu。Zorab的開發者發佈了一個解密程式,聲稱可以解密這些遭到勒索文件,但實際上它將它們全部加密一遍。
你確實可以解密早期版本STOP的洩露文件:Emsisoft在2019年10月發佈過一個工具。但現在的版本使用了更可靠的加密算法,目前的技術尚無法破解。因此,至少目前為止沒有針對最新版本STOP/Djvu的解密工具存在。
我們說“目前為止”,是因為解密工具只有兩種情況下會出現:要麼是開發者在加密算法中出錯了(或者乾脆使用弱密碼),要麼是警察找到並查封他們的伺服器。當然,開發者可能會自願公佈密鑰,但這是一個非常長遠的過程——即使他們這樣做,訊息安全公司仍然必須創建一個方便的實用程式,使受害者可以用來恢復他們的數據。被Shade勒索軟體攻擊的文件密鑰就發生了這種情況,我們曾在今年4月發佈過一個解密程式。
如何知道解密器是真是假
很少有匿名的人在未知的網站上發佈解密實用程式,或者在論壇或社交網路上提供直接下載連結。你可以在訊息安全公司的網站或專門打擊勒索軟體的專業門戶網站上找到真正的實用程式,如nomoreransom.org。請對其他地方託管的工具保持懷疑態度。
這些不法分子利用的是人們的恐慌心理,他們知道有人遭到文件的勒索後會急忙地想要解決辦法。我們建議,當你相信某個工具是可靠且善意的時候,也要保持冷靜和客觀地檢查該來源網站。如果你對其合法性有任何懷疑,請不要下載不明來源的工具。
如何防範Zorab和其他勒索軟體
- 如果你不確定來源的話,請不要打開可疑的連結或運行可執行文件。最可靠的解密器來源是noransom.kaspersky.com,nomoreransom.org(由幾家公司聯合經營的項目),以及其他安全解決方案供應商的網站。如果你在其他地方找到了一個實用程式,那麼我們強烈建議在你考慮使用它之前,檢查其開發者的合法性及其發佈的網站。
- 對重要文件進行備份。
- 使用可靠的安全解決方案,它可以檢測已知的勒索軟體,並在遇到未知的來源時,識別並阻止文件的惡意修改。
對於擔心勒索軟體且依賴其他保護的公司,我們提供獨立的卡巴斯基防毒軟體工具。它與大多數安全解決方案兼容,並可以檢測任何突破他們的防禦的威脅。
資料來源: https://www.kaspersky.com/blog/fake-djvu-ransomware-decryptor/35824/