Categories: SicherheitVirus

Falsches Entschlüsselungstool für Ransomware verschlüsselt Dateien erneut

Das MalwareHunter-Team hat eine neue Ransomware entdeckt, die eine besonders perfide Strategie verfolgt, um Nutzer zu erpressen. Die Zorab genannte Malware gibt sich als kostenloses Entschlüsselungstool für die Ransomware STOP Djvu aus. Doch statt Nutzern den versprochenen Zugriff auf ihre verloren geglaubten Dateien zu gewähren, verschlüsselt Zorab diese erneut, um selbst ein Lösegeld zu verlangen, wie Bleeping Computer berichtet.

Demnach suchten sich die Entwickler von Zorab mit STOP Djvu die derzeit wohl am weitesten verbreitete Erpressersoftware aus, um möglichst viele Anwender in die Falle zu locken. Bei ID-Ransomware, einem Service zu Identifizierung von Ransomware, soll es STOP Djvu auf mehr als 500 Einreichungen pro Tag bringen.

Tatsächlich liegt für ältere Varianten von STOP Djvu ein kostenloses Entschlüsselungstool vor. Es wurde vom Sicherheitsanbieter Emisoft und Michael Gillespie entwickelt. Die Verschlüsselung neuerer Varianten kann indes noch nicht geknackt werden.

In der Öffentlichkeit soll STOP Djvu bisher wenig bekannt sein, weil sich die Ransomware fast ausschließlich gegen Endanwender richtet. Die Verbreitung erfolgt zudem auf diese Zielgruppe ausgerichtet über angebliche Software-Cracks.

Wird der falsche Decryptor gestartet, fordert er das Opfer auf, die von STOP Djvu generierte ID sowie die für die verschlüsselten Dateien verwendete Dateiendung einzugeben. Ein Klick auf den Button „Start Scan“ führt jede eine weitere Anwendung namens „crab.exe“ aus. Dabei handelt es sich um die eigentliche Zorab-Ransomware, die alle Dateien erneut verschlüsselt und mit der Dateiendung „ZRB“ versieht. Zudem legt sie in jeden Ordner eine Lösegeldforderung wie Anweisungen, wie die Cyberkriminellen zu kontaktieren sind, ab.

Die Kontaktaufnahme soll über eine E-Mail-Adresse des Anbieters Proton Mail erfolgen. Die Hacker bieten zudem an, zwei Dateien kostenlos zu entschlüsseln, um nachzuweisen, dass sie tatsächlich in der Lage sind, die Daten des Opfers wieder freizugeben. Zur Höhe des Lösegelds machen die Hacker keine Angaben.

Bleeping Computer weist darauf hin, dass die Zorab-Ransomware derzeit noch analysiert wird. Nutzer sollten deswegen von Lösegeldzahlungen absehen, zumindest bis feststehe, ob eine Schwachstelle in der Malware eine kostenlose Entschlüsselung ermögliche.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Linux Foundation startet Open Voice Network

Die Linux Foundation setzt mit Partnern wie Microsoft, der Deutschen Telekom und der Schwarz Gruppe…

5 Stunden ago

Network as a Service: Das Ende der klassischen LAN-Konzepte

Telekom bietet mit Cisco Meraki Managed Service (CMMS) gute Argumente für Netzwerkumgebungen aus der Cloud

5 Stunden ago

Erst Vernetzung und Compliance machen IT-Sicherheit komplett

Angesichts steigender Schadenssummen und Bußgelder für Cyber-Vorfälle zahlen sich proaktiver Schutz sowie die Zusammenarbeit mit…

1 Tag ago

Innsbrucker Forscher schrumpfen Quantencomputer

Bisher waren Quantencomputer riesige Geräte, die ganze Labore füllten. Jetzt haben Physiker der Universität Innsbruck…

1 Tag ago

Compliance und Technik sind kein Widerspruch

Gesetzliche und Branchenvorgaben (Compliance) muss jedes Unternehmen erfüllen. In einem Gastbeitrag schildert Bertram Dorn, Principal…

2 Tagen ago

Zwei Drittel der deutschen Unternehmen erleiden Ransomware-Attacken

67 Prozent der Unternehmen in Deutschland waren im Jahr 2020 von Ransomware-Angriffen betroffen. In einem…

2 Tagen ago