Перейти к содержанию

Зашифровать зашифрованное: троян Zorab в декрипторе для STOP


Рекомендуемые сообщения

Что делает человек, обнаруживший, что его файлы зашифровал троян-вымогатель? Сначала паникует, потом переживает, а потом ищет способы вернуть все обратно, не платя бесполезный выкуп злоумышленникам. То есть он попробует найти решение в Google или попросит совета в соцсетях. Именно на этом пытаются сыграть создатели трояна-шифровальщика Zorab, встроившие его код в некий инструмент, который, если судить по описанию, должен помочь жертвам вымогателя STOP, также известного как Djvu.

Декриптор для шифровальщика STOP как приманка

По сути, злоумышленники усугубляют проблемы, возникающие у жертв вымогателя, который шифрует данные и — в зависимости от версии — присваивает измененным файлам расширение .djvu, .djvus, .djvuu, .tfunde, .uudjvu или какое-нибудь другое. Создатели Zorab выпустили утилиту,  якобы способную восстановить файлы, но по факту она шифрует их еще раз.

Файлы, попорченные ранними версиями STOP, действительно можно было расшифровать — компания Emsisoft выпустила соответствующий инструмент еще в октябре 2019 года. Но последние версии используют более надежный алгоритм шифрования, который при нынешнем уровне технологий взломать не удается. Так что для современных разновидностей STOP/Djvu восстанавливающей утилиты не существует — по крайней мере пока.

Пока — потому что утилиты для расшифровки получается создать в одном из двух случаев. Либо если злоумышленники допустили какую-то ошибку в имплементации алгоритма шифрования или просто выбрали слабый шифр, либо если полиции удается обнаружить и изъять их серверы.

Да, есть еще вариант, когда авторы шифровальщика добровольно публикуют ключи, но это скорее исключение. Впрочем, и для этого случая компании в сфере информационной безопасности создают удобную утилиту, позволяющую пострадавшим вернуть данные. Например, так произошло с ключами для файлов, пораженных вымогателем Shade, — программу для расшифровки мы опубликовали в апреле этого года.

Как понять, что утилита для расшифровки поддельная

Очень маловероятно, что утилиту для расшифровки создадут анонимные доброжелатели и выложат ее на неизвестном сайте или же дадут прямую ссылку на форуме либо в социальных сетях. Настоящие инструменты публикуют либо на сайтах компаний, занимающихся информационной безопасностью, либо на специализированных порталах, посвященных борьбе с шифровальщиками, вроде nomoreransom.org. Если утилита нашлась за пределами таких сайтов — это уже подозрительно.

Злоумышленники пользуются тем, что человек, чьи данные зашифровали, будет хвататься за любую соломинку. Однако даже если вы верите в существование утилиты на каком-то стороннем ресурсе, взгляните на ситуацию трезво и проверьте сайт, на который вас отправил анонимный «доброжелатель». Если у вас возникли подозрения в его легитимности — запускать такой инструмент однозначно не стоит.

Как защититься от Zorab и других шифровальщиков

  • Не переходите по подозрительным ссылкам и не запускайте исполняемые файлы, если не доверяете их источнику. Если вы искали декриптор для шифровальщик STOP/djvu, надежными источниками будут наш сайт kaspersky.ru, совместный проект нескольких антивирусных компаний — nomoreransom.org или сайты других компаний, занимающихся защитными решениями. Если утилита опубликована где-то еще, то, прежде чем воспользоваться ей, мы рекомендуем проверить легитимность ее авторов и сайта, где она опубликована.
  • Делайте резервные копии важных файлов. О том, как их делать правильно, мы рассказывали в отдельном посте.
  • Используйте надежное защитное решение, которое детектирует известные шифровальщики, а при встрече с неизвестными выявляет попытки изменить файлы и предотвращает их.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • Dairoku69_
      От Dairoku69_
      Попыталась обойти замедление дискорда и ютуба, а наткнулась на майнер и возможно ещё на троян. Сами файлы утилиты я уже удалила, но на устройстве появился майнер и угроза названая трояном в Kaspersky Standart, при этом сам антивирус их удалить не смог. Проверяла систему Dr.Web Curelt, KVRT, первый нашёл и почистил только мелкие файлы, не относящиеся к майнеру с утилиты, второй вообще ничего не нашёл.
       
      Логи:
      CollectionLog-2024.12.13-05.23.zip
       
    • Федор45
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • Добрячок
      От Добрячок
      CollectionLog-2024.12.12-21.47.zip Где то видимо поймал этот троян и давно его удалил и вот он всплыл опять. Пытался удалять уже раза 4, а он каким то образом опять появляется на компьютере использовал KVRT и AutoLogger Заранее Спасибо!
×
×
  • Создать...