Circola in rete un falso programma che assicura la decrittazione gratuita
E’ ormai tristemente noto che tra le varie minacce in circolazione sulla Rete, tra i più pericolosivi sia il ransomware.
Come suggerisce il nome stesso, questo virus “tiene in ostaggio” tutti i file, quindi spesso si è tentati di cercare la chiave di decrittazione per sbloccare tutto.
In questo caso, generalmente ci si trova di fronte e due possibilità:
- contattare chi promette di avere la chiave di decrittazione, ma è molto probabile che a rispondere sia il Criminal Hacker stesso
- rivolgersi a società che sostengono di poter recuperare questi codici, ma anche in questo caso, con alta probabilità potrebbero trattarsi di intermediari di brokeraggio con i Criminal Hacker.
Ovviamente esistono Decryptor legittimi e autorevoli, ma spesso le persone a cui il virus ha bloccato i file hanno già tentato invano di passare per tali canali e hanno urgenza di trovare una soluzione.
I Criminal Hacker si sono dunque inseriti in questo processo creando falsi Decryptor contenenti un altro malware che di fatto rende la situazione delle vittime doppiamente più critica.
È in distribuzione, infatti, un falso Decryptor per STOP Djvu Ransomware che attira persone già disperate con la promessa di una decrittazione gratuita.
Invece di recuperare i loro file gratuitamente, però, coloro che lo scaricano vengono infettati con un altro ransomware che rende la loro situazione decisamente più grave!
Se ultimamente i Ransomware più noti come Maze, REvil, Netwalker e DoppelPaymer ricevono molta attenzione mediatica grazie alle loro vittime di alto profilo, STOP Djvu sta infettando ogni giorno più persone di tutte gli altri messi insieme.
Ad oggi infatti, con oltre 600 invii al giorno al servizio di identificazione ID-Ransomware, STOP ransomware è il più attivamente distribuito dell’ultimo anno.
In questa categoria di virus rientra anche un nuovo ransomware chiamato Zorab.
Proprio i Criminal Hacker dietro Zorab hanno rilasciato il falso decodificatore STOP Djvu che non recupera alcun file gratuitamente ma,al contrario, cripta tutti i dati già criptati della vittima con un altro ransomware.
Quando un utente disperato inserisce le sue informazioni nel decodificatore fasullo e clicca su ‘Avvia scansione’, il programma estrae un altro eseguibile chiamato crab.exe e lo salva nella cartella %Temp%.
Crab.exe non è altro che Zorab, che inizierà a criptare i dati sul computer. Durante la cifratura dei file, il ransomware aggiungerà l’estensione .ZRB al nome del file.
Il ransomware creerà anche delle note di riscatto chiamate ‘–DECRYPT–ZORAB.txt.ZRB’ in ogni cartella che è stata colpita. Questa nota contiene le istruzioni su come contattare gli operatori del ransomware per le istruzioni di pagamento.
Questo ransomware è attualmente in fase di analisi, e gli utenti non dovrebbero pagare il riscatto fino a quando non viene confermato che nessun punto debole può essere utilizzato per recuperare i file criptati.