Осенью прошлого года ИБ-специалисты обратили внимание на вымогателя STOP (Djvu), который по данным сервиса ID Ransomware, созданного известным ИБ-экспертом Майклом Гиллеспи, оказался одной из наиболее активных угроз года, наряду с Ryuk, GandCrab и Sodinkibi.
Тогда сообщалось, что ID Ransomware получает примерно 2500 сообщений об атаках вымогателей в день, но примерно 60-70% из них — это сообщения об атаках шифровальщика STOP, что оставляет другие вымогатели далеко позади. В настоящее время ID Ransomware по-прежнему получает порядка 600 сообщений о заражениях STOP в день.
В прошлом году специалисты компании Emsisoft и Майкл Гиллеспи выпустили бесплатную утилиту для дешифровки данных, пострадавших от атак шифровальщика STOP. Разработанный Emsisoft инструмент работал против 148 из 160 вариаций шифровальщика, то есть должен помочь примерно 70% жертв.
Теперь издание Bleeping Computer и MalwareHunterTeam предупреждают, что неизвестные злоумышленники создали вымогатель, который маскируется под ту самую бесплатную утилиту от Emsisoft. Малварь получила название Zorab: фальшивая утилита повторно шифрует все данные жертвы, уже пострадавшей от атаки STOP.
Когда пользователь вводит свои данные в фальшивый расшифровщик и нажимает «Начать сканирование», программа извлекает другой исполняемый файл crab.exe и сохраняет его в папке %Temp%. Этот файл и представляет собой основу Zorab, который тут же начинает снова шифровать данные на компьютере, добавляя к ним расширение .ZRB.
В итоге незашифрованной на пострадавшей машине остается лишь записка с требованием выкупа, содержащая инструкции о том, как связаться с операторами малвари для получения инструкций для оплаты.
Исследователи крайне не рекомендуют жертвам Zorab платить злоумышленникам и пишут, что уже занимаются анализом новой малвари.