近日,ID Ransomware 創辦人 Michael Gillespie 在 Twitter 帖文指出:一款聲稱可為勒索軟件 Stop (又稱 Djvu) 解密的工具,背後實為另一款勒索軟件 Zorab。這個偽冒的解密工具看中了受害人急於解密的心情,再次對這些受害人作出二度傷害 – 再次進行加密。
據悉,勒索軟件 STOP 在過去一年登上了最活躍勒索軟件榜,且單是上年已有至少有 160 種變種。而 Emsisoft 和 Michael Gillespie 亦已發佈了較舊版的 STOP Djvu 變種的解密工具,但較新的變種暫時還未能免費解密。不過這款最新出現的解密工具,卻為受害者感染多一重勒索病毒,令事情變得更加複雜。
假冒的STOP Djvu解密工具
只要用戶在這個假冒的解密工具中輸入信息並按下「Start Scan」後,它就會執行另一個 crab.exe 程序,並保存到%Temp%文件夾中。而Crab.exe 就是 Zorab 勒索軟件的「真身」,它將開始對電瞄內的資料進行加密,加密時會將 .ZRB 副檔名加到文件名後,還將在每個加密文件夾中建立名為「–DECRYPT–ZORAB.txt.ZRB」的勒索說明,包括:联絡及付款方式。
有專家提醒使用者,務必要從可靠的來源下載解密工具,否則可能造成二度傷害。
