Neppe ransomware decryptor installeert extra  lading malware

Abonneer je gratis op Techzine!

Slachtoffers van de STOP Djvu-ransomware zijn opnieuw het doelwit geworden van kwaadwillende partijen. Een tool die zich voordoet als een decryptor van de malware, installeert juist een extra lading ransomware op een pc.

Cybersecurityexpert Michael Gillespie vond de nieuwe ransomware genaamd Zorab, die online werd aangeboden als decryptor van de STOP Djvu-ransomware. Voor oudere versie van STOP Djvu was een legitieme decryptor aangeboden door Gillespie (in samenwerking met Emisoft), maar voor nieuwere versies was geen gratis versie te verkrijgen. Een gouden kans voor kwaadwillende partijen om juist nog meer schade toe te brengen.

Reeds versleutelde bestanden worden door Zorab nogmaals versleuteld, waardoor een gebruiker nog dieper in de problemen zit. Bestanden krijgen de extensie .ZRB toegewezen, waarna deze enkel weer kunnen worden geopend nadat losgeld is betaald. In dit geval zijn de vrijgegeven bestanden nog steeds versleuteld vanwege de eerste originele ransomware.

Cybersecurityfirma’s benadrukten in eerste instantie dat getroffen gebruikers er goed aan deden te wachten met betalen, aangezien een mogelijke decryptor een gratis oplossing kon bieden. Emisoft, de makers van de originele STOP Djvu-ransomware, heeft reeds een gratis versie van de Zorab-encryptor uitgebracht, waardoor de extra lading versleuteling in ieder geval kan worden verholpen zonder kosten.

Gemelde gevallen van de STOP Djvu-ransomware namen begin deze maand aanzienlijk af, maar was vanaf mei geregeld terug te vinden in de top van lijsten met vaak gebruikte malware. De malafide tool werd vooral gevonden in cracks voor software.