信息化觀察網(wǎng)

Stop勒索軟件主要通過網(wǎng)上一些密碼生成器及破解程序進(jìn)行傳播的，這些工具通常是用來讓人們免費(fèi)使用付費(fèi)的軟件，而最大的受害群體無疑是那些學(xué)生或青少年，或是與他們共用電腦的親友們。Stop除了會(huì)加密系統(tǒng)上的文件之外，有時(shí)還會(huì)嵌入其它惡意軟件，像是專門盜取密碼的木馬程序。Stop家族的勒索軟件會(huì)將系統(tǒng)內(nèi)文件進(jìn)行加密，并把它們的文件后綴變更為.djvu、.rumba、.radman或.gero等，然后向受害者索取980美元的費(fèi)用來換得解密密鑰，如果72小時(shí)內(nèi)與黑客聯(lián)系則會(huì)有5折優(yōu)惠。作為近段時(shí)間來頗為常見的勒索軟件，市面上預(yù)計(jì)有160種Stop勒索變種，而正規(guī)的解密工具，大概只能解鎖其中148種。至于這不能破解的幾種變體，就有攻擊者開始在這上面動(dòng)歪心思了。

隨著免費(fèi)勒索軟件解密工具開始進(jìn)入市場，聲稱可以解密受勒索軟件影響文件的軟件開始激增。這不最近，Zorab勒索軟件的創(chuàng)建者發(fā)布了一個(gè)偽造的STOP Djvu解密程序。然而，這個(gè)軟件并沒有恢復(fù)受害者的數(shù)據(jù)，而是用其中包含的勒索軟件進(jìn)一步加密了他們的文件。當(dāng)受害者打開其中一個(gè)工具時(shí)，該軟件就會(huì)提取一個(gè)名為crab.exe的可執(zhí)行文件。這就是Zorab勒索軟件。一旦執(zhí)行，該工具將加密擴(kuò)展名為. zrb的所有文件。

被這個(gè)偽造的STOP Djvu勒索軟件感染后，情況會(huì)更糟。根據(jù)目前的監(jiān)測，STOP Djvu的傳播趨勢非?？?。

Maze, REvil, Netwalker和DoppelPaymer等勒索軟件想必大家都很熟悉了，這是因?yàn)樗鼈兘?jīng)常攻擊那些比較有價(jià)值的用戶，且被媒體廣泛報(bào)道。但事實(shí)是，STOP Djvu勒索軟件每天感染的人比所有這些軟件感染的人加在一起還要多，只不過因?yàn)樗墓裟繕?biāo)比較分散，造成的損失比較小，所以關(guān)注度不高。

STOP勒索軟件每天有600多個(gè)ID勒索軟件識(shí)別服務(wù)提交，STOP勒索軟件是過去一年中分布最活躍的勒索軟件。

STOPDjvu勒索軟件提交的ID勒索軟件

Emsisoft和Michael Gillespie之前已經(jīng)發(fā)布了一個(gè)針對舊版本STOP Djvu的解密器，但是新的版本需要交費(fèi)才能解密。

既然該勒索軟件如此普遍，你可能會(huì)想為什么它沒有得到太多關(guān)注?

缺乏關(guān)注僅是因?yàn)槔账鬈浖饕绊懲ㄟ^偽造為軟件漏洞的廣告軟件捆綁軟件感染的家庭用戶。雖然下載和安裝破解程序是不對的，但許多被感染的人根本無法支付500美元的贖金來購買解密器。而用另一個(gè)勒索軟件對一些人的數(shù)據(jù)進(jìn)行雙重加密，只會(huì)在用戶已經(jīng)崩潰的時(shí)候再踩上一腳。

Zorab對受害者的數(shù)據(jù)進(jìn)行雙重加密

不幸的是，Michael GillespieMichael Gillespie發(fā)現(xiàn)了一個(gè)名為Zorab的勒索軟件。

Zorab勒索軟件的開發(fā)者發(fā)布了一個(gè)偽造的STOP Djvu解密軟件，該軟件不會(huì)免費(fèi)恢復(fù)任何文件，而是用另一個(gè)勒索軟件加密受害者已經(jīng)加密的所有數(shù)據(jù)。

偽造的STOP Djvu解密器

當(dāng)一個(gè)絕望的用戶在偽造的解密器中輸入他們的信息并點(diǎn)擊“開始掃描”，程序?qū)⑻崛×硪粋€(gè)名為crb .exe的可執(zhí)行文件并保存到%Temp%文件夾中。

提取和執(zhí)行crab.exe程序

Crab.exe是另一個(gè)名為Zorab的勒索軟件，它將開始對計(jì)算機(jī)上的數(shù)據(jù)進(jìn)行加密。加密文件時(shí)，勒索軟件會(huì)將. zrb擴(kuò)展名附加到文件名稱中。

Zorab加密文件

勒索軟件還將在每個(gè)文件加密文件夾中創(chuàng)建名為“ --DECRYPT--ZORAB.txt.ZRB”的勒索筆記。本說明包含有關(guān)如何聯(lián)系勒索軟件運(yùn)營商以獲取付款說明的解釋。

Zorab贖金說明